Mineros De Criptomonedas Instalan Rootkits En Linux Para Esconderse

Componentes de Rootkit esconde el proceso de los mineros el cual causan un gran uso en el CPU.

Investigadores de seguridad en Trend Micro se han encontrado un nuevo malware que mina criptomonedas en computadoras Linux, pero que difieren de previos mineros porque descargan un rootkit que altera el comportamiento del sistema operativo y esconde el proceso con alto consumo del minero.


Actualmente, Trend Micro no ha identificado la manera en la que el malware infecta al sistema, malware que le han nombrado KORKERDS, pero no creen que esta reciente ola de infecciones resulte en una intrusiva campaña de hackeo.

En vez de eso, los investigadores creen que se están usando aplicaciones Linux que han sido modificadas para descargar e instalar silenciosamente los mineros KORKERDS durante la instalación de la aplicación legitima. ¿Pero qué aplicación es? Trend Micro todavía no lo averigua.

También mencionan el rootkit se engancha a las API de readdir y readdir64 de la libreria libc. El rootkit sobrescribe la librería normal de readdir con la libreria modificada del rootkit haciendo que el proceso de minado de criptomonedas "kworkerds" se oculte y asi las herramientas de monitoreo de procesos de Linux no lo muestren pero aun así, mostraran que se está usando el 100% del CPU, así los administradores no sabrán que proceso terminar.

Dejando aparte el hecho de que el malware se distribuya dentro de aplicaciones legítimas, esto también sugiere que el malware es también una amenaza para los usuarios de Linux de escritorio y no solamente para los usuarios de Linux de servidor.

Los usuarios de Linux no son los únicos en ser objetivo del malware de minado de criptomonedas, Trend Micro también ha publicado un reporte acerca de otro malware que tiene a Windows como objetivo que usa varias técnicas para permanecer oculto el mayor tiempo posible.

Comentarios