Entenda o vírus inédito que está atacando dispositivos Linux

Pesquisadores da Akamai descobriram o NoaBot, um vírus que ataca servidores e dispositivos, como roteadores, câmeras e outros do tipo IoT baseados em Linux, com o propósito de minerar criptomoedas. O vírus surpreende por sua arquitetura intrincada.

Para entender como o vírus funciona, os pesquisadores espalharam honeypots pelo mundo, dispositivos monitorados que simulam ambientes Linux reais. Notou-se que a distribuição da infecção ocorreu de forma equilibrada, com maior foco na China.

O vírus é uma modificação do Mirai, outro malware descoberto em 2016, capaz de realizar ataques do tipo denial-of-service, conseguindo paralisar partes-chave da infraestrutura da internet naquele ano. Após desvendado, os criadores do Mirai liberaram o código-fonte na internet, viabilizando inúmeros novos softwares maliciosos. Uma característica que chama a atenção no Mirai é a capacidade de autorreplicar e espalhar a partir de dispositivos contaminados.

Enquanto o Mirai mira conexões Telnet com senha fraca para ataques DDOS, o NoaBot invade via SSH com senha fraca para gerar criptomoedas utilizando hardware, conexão e energia elétrica alheio. Para esconder rastros de transações, o NoaBot utiliza uma técnica inédita de criptografia, com menor aplicação da linha de comando. A biblioteca incomum utilizada para criar o vírus, assim como sua capacidade de rodar a partir de uma pasta aleatória dentro do diretório /lib, consegue atrapalhar sua descoberta por antivírus.

O empacotamento do NoaBot foi todo pensado para impedir a engenharia reversa, algumas das poucas linhas legíveis por humanos que os pesquisadores conseguiram extrair, incluem títulos com teor juvenil para partes do código, além de letras de músicas.

Fonte

9 curtidas