Investigadores de seguridad de Trend Micro han publicado un reporte describiendo una nueva amenaza bastante avanzada. Se trata de un malware llamado Skidmap, este funciona como un rootkit en Linux y es capaz de ocultar la carga de CPU que utiliza para minar criptomonedas con el equipo infectado.
Esto es realmente importante puesto que una de las principales formas o la principal forma de detectar infecciones con malware de minado de criptomonedas, es el hecho de que consumen básicamente toda la potencia del CPU para hacerlo y lo podemos comprobar en el monitor del sistema.
Skidmap es un ejemplo de la alta complejidad de los criptominers actuales, el malware no solo carga modulos del kernel para mantener sus operaciones ocultas y enmascara lo que hace mostrando estadísticas de red y CPU falsas, sino que puede ser usado por los atacantes para ganar acceso total al sistema afectado.
En Trend Micro explican que Skidmap puede establecer una contraseña maestra secreta que le da acceso a todas las cuentas de usuario del sistema, y dado que la mayoría de sus rutinas requieren acceso root, lo más probable es que el vector de ataque que usa, ya sea a través de exploits, configuraciones incorrectas o exposición en Internet, sea el mismo que proporciona el acceso root al atacante en primer lugar.
El malware de minado es una amenaza persistente
En el caso de Skidmap, este malware está incluso programado para reinfectar sistemas que ya hay sido desinfectados o restaurados. Trend Micro explica que es mucho más difícil de curar que otros malware porque Skidmap usa rootkits de módulos del kernel de Linux, de forma que pueden sobrescribir o modificar partes del kernel del sistema.
Las amenazas de minería de criptomonedas no solo afectan el rendimiento de un servidor o estación de trabajo, sino que también podrían traducirse en mayores gastos e incluso perturbar las empresas, especialmente si se utilizan para ejecutar operaciones críticas
El malware de minado sigue siendo una amenaza presente, todo el mundo quiere minar criptomedas, de ahí que hasta detengan gente por hacerlo hasta en centrales nucleares. Los _criptominers_ han ido evolucionando consistentemente, algunos siguen funcionando aunque cierres el navegador que infectan, otros son capaces de eliminar a la competencia para asegurar el máximo beneficio, y ahora tenemos cepas que son capaces de ocultar sus actividades.
Ver 44 comentarios