O cenário de ameaças para sistemas Linux acaba de se tornar mais complexo. Pesquisadores de segurança identificaram uma nova e sofisticada campanha de malware que funde as capacidades destrutivas da famosa botnet Mirai com um minerador de criptomoedas fileless (sem arquivo).
Esta nova variante representa uma evolução na estratégia dos cibercriminosos: a “monetização híbrida”. O objetivo não é apenas usar seus dispositivos para atacar outros, mas também lucrar diretamente com o poder de processamento deles, tudo isso enquanto permanecem indetectáveis.
O que é essa nova ameaça?
Conforme relatado pelo The Cyber Express e analisado pela Cyble, este malware tem como alvo principal servidores Linux, cargas de trabalho em nuvem e dispositivos IoT expostos.
. A ameaça se destaca por combinar duas funções maliciosas em um único pacote:
1. Capacidades de Botnet (DDoS): Utiliza variantes da Mirai para escaneamento e ataques de negação de serviço.
2. Mineração de Criptomoedas (XMRig): Implementa um minerador de Monero modificado para gerar lucro ilícito.
Essa abordagem maximiza o retorno sobre o investimento (ROI) para os atacantes. Se o dispositivo comprometido não estiver sendo usado ativamente para um ataque DDoS, ele está gerando dinheiro através da mineração.
Anatomia do Ataque: Furtividade e Técnica
O que torna este malware particularmente perigoso é o nível de sofisticação técnica empregado para evitar a detecção e garantir a persistência.
1. A Cadeia de Infecção Multiestágio
O ataque começa com um downloader que entrega binários da Mirai (variante V3G4) específicos para a arquitetura do alvo, seja x86_64, ARM ou MIPS. O segundo estágio envolve um arquivo ELF compactado (UPX) com símbolos removidos, o que dificulta a inspeção estática por analistas de segurança.
2. Camuflagem de Processos
Uma vez dentro, o malware entra em “modo furtivo”. Ele renomeia seu processo para systemd-logind, mascarando-se como um daemon legítimo do sistema para enganar administradores que estejam monitorando a lista de processos ativos.
3. Escaneamento Agressivo
Para se propagar, o malware utiliza “raw TCP sockets” (sockets TCP brutos). Isso permite a criação precisa de pacotes SYN para campanhas de escaneamento SSH de alta velocidade, buscando novas vítimas vulneráveis na rede.
4. Comunicação C2 Resiliente
Para manter o canal de comando e controle (C2) ativo, o malware utiliza uma estratégia de resolução dinâmica de DNS, fazendo consultas repetidas ao DNS Público do Google (8.8.8.8) para resolver o domínio malicioso baojunwakuang[.]asia.
A Inovação “Fileless”: Mineração sem Rastros
A característica mais alarmante desta campanha é como ela implanta o minerador de criptomoedas XMRig.
Em ataques tradicionais, o minerador geralmente vem acompanhado de um arquivo de configuração salvo no disco, contendo o endereço da carteira e a pool de mineração. Isso cria um artefato forense fácil de detectar.
No entanto, nesta nova variante, o minerador obtém sua configuração dinamicamente. Ele baixa o binário do minerador e o armazena em /tmp/.dbus-daemon para disfarce. Em seguida, ao invés de ler um arquivo local, ele solicita os dados de configuração (URL da pool, carteira, algoritmo) diretamente do servidor C2 em tempo de execução.
Isso significa que não há arquivos de configuração no disco (on-disk artifacts). Se um analista de segurança examinar o dispositivo desligado, não encontrará as credenciais do minerador, dificultando a análise forense e a atribuição do ataque.
Quem está em risco?
As organizações que operam infraestrutura Linux estão na linha de frente. Os alvos preferenciais incluem:
• Servidores Linux corporativos;
• Ambientes de nuvem (Cloud Workloads);
• Dispositivos IoT (Internet das Coisas) expostos à internet
Como se proteger
Diante de uma ameaça que combina força bruta com técnicas de evasão, a defesa precisa ser proativa. As recomendações baseadas na análise dos pesquisadores incluem:
• Monitoramento Contínuo: A vigilância constante do tráfego de rede e do comportamento dos processos é crucial para identificar anomalias, como o uso indevido de sockets brutos ou conexões inesperadas a pools de mineração.
• Hardening de Sistemas: Reforçar as configurações de segurança de servidores e dispositivos IoT para reduzir a superfície de ataque.
• Análise Comportamental: Como o malware se disfarça de processos legítimos (systemd-logind), confiar apenas em nomes de processos não é suficiente. É necessário monitorar o uso de CPU e conexões de rede desses processos.
Proteja sua operação com a TC do Brasil
Proteja sua infraestrutura crítica contra essa nova onda de ataques híbridos com a TC do Brasil, sua parceira especializada em Serviços Gerenciados de TI. Com soluções robustas de Cloud e Segurança e Gestão de Datacenter, oferecemos monitoramento contínuo via SOC e NOC para identificar atividades suspeitas e blindar seus servidores. Nossa atuação em todo o território nacional permite que você se preocupe somente com seu negócio, enquanto nossa equipe garante a integridade e disponibilidade dos seus dados.
Fontes utilizadas neste artigo incluem relatórios da SC Media e The Cyber Express.
