Se ha detectado un nuevo malware para Linux creado con SHC (Shell Script Compiler) que es capaz de infectar sistemas con mineros de criptomonedas y bots DDoS IRC.
Los investigadores de ASEC, que descubrieron el ataque, informan que los hackers que desarrollaron el malware cargaron el cargador SHC en VirusTotal, pero los ataques están dirigidos hacía las cuentas de administrador débiles, a las cuales se les aplica fuerza bruta a través de SSH en servidores Linux.
Carga sigilosa: el nuevo malware para Linux se expande peligrosamente
Cabe señalar que el SHC es un compilador genérico de scripts de shell para Linux, el cual es capaz de convertir scripts de shell Bash en archivos ELF, los cuales luego son ejecutables en Linux y Unix.
Los atacantes suelen utilizar scripts maliciosos de shell Bash que contienen comandos del sistema, que pueden ser detectados por el software de seguridad instalado en dispositivos Linux.
Es por eso que los scripts en los ejecutables SHC ELF están codificados con el algoritmo RC4, el software de seguridad no puede detectar fácilmente los comandos maliciosos, lo que podría permitir que el malware eluda la detección.
La descarga genera muchas cargas útiles
Cuando el usuarios descarga el malware SHC, este genera automáticamente muchas cargas útiles de malware que luego se instalan en el dispositivo. Una de esas cargas es el minero XMRig que se descarga como un archivo TAR desde una URL remota y se extrae a «/usr/local/games/» y se ejecuta.
El malware también cuenta con un script que al ejecutarse apunta a un grupo de minería configurado previamente.
Hay que señalar que XMRig es un minero de criptomonedas de CPU de código abierto que ha sido ampliamente abusado y que generalmente se configura para extraer Moneros utilizando los recursos del hardware disponibles en el servidor comprometido.
La otra carga útil es nada más y nada menos que un DDoS (ataques de denegación de servicio distribuido) basado en Pearl que se conecta a un servidor IRC (Internet Relay Chat) utilizando datos de configuración específicos y luego se verifica mediante el uso de un nombre de usuario.
Si el proceso de verificación tiene éxito, el bot espera recibir órdenes del servidor IRC, las cuales pueden incluir acciones relacionadas con ataques DDoS como TCP Flood, UDP Flood y HTTP Flood, escaneo de puertos, uso de Nmap, envío de correos, eliminación de procesos, limpieza de registros y más.
ASEC señala que estos tipos de ataques a menudo son el resultado de la utilización de contraseñas débiles en servidores Linux expuestos. Por lo tanto, ASEC aconseja que los administradores de servidores utilicen contraseñas seguras y las cambien regularmente para proteger sus servidores Linux de ataques de fuerza bruta, así como mantener sus servidores actualizados con las últimas parches de seguridad para evitar ataques a través de vulnerabilidades conocidas.
Además, ASEC sugiere que los administradores utilicen programas de seguridad como firewalls para proteger servidores que estén accesibles desde Internet y restringir el acceso de posibles atacantes.