Pesquisadores de segurança cibernética descobrem uma campanha sofisticada do Linux que combina recursos legados de botnets com técnicas modernas de evasão.
Um recém- descoberto A campanha de malware do Linux está demonstrando a crescente sofisticação dos atores de ameaças, combinando a funcionalidade de negação de serviço distribuída (DDoS) derivada do Mirai com uma operação de mineração de criptomoeda furtiva e sem arquivo.
De acordo com uma pesquisa do Cyble Research & Intelligence Labs (CRIL), o ataque em vários estágios tem como alvo as arquiteturas x86_64, ARM e MIPS, ao mesmo tempo que emprega técnicas avançadas de evasão, incluindo mascaramento de processos, varredura de soquete bruto e configuração dinâmica de tempo de execução.
A campanha, que os analistas da CRIL têm acompanhado, representa uma estratégia de monetização híbrida cada vez mais favorecida pelos agentes de ameaças modernos.
Em vez de depender apenas Ataques DDoS ou criptomineração, os operadores maximizam os retornos aproveitando sistemas comprometidos para ambos os fins simultaneamente.
Esta abordagem reflete a tendência mais ampla de adaptação das ameaças da linhagem Mirai aos ambientes Linux expostos à nuvem e à Internet, onde os recursos computacionais podem ser explorados para obter ganhos financeiros.
Cadeia de infecção em vários estágios
O ataque começa com um script de shell compacto chamado “Universal Bot Downloader”, que identifica automaticamente a arquitetura da CPU do sistema alvo usando o comando uname -m.
Com base nesse reconhecimento, o script baixa um binário específico da arquitetura do servidor controlado pelo invasor em 103.149.93[.]224.
A carga útil é gravada no diretório /tmp, recebe permissões executáveis e lança imediatamente um padrão tático entre IoT e botnets direcionados à nuvem, buscando implantação rápida em diversos ambientes.
A carga útil do segundo estágio, denominadaMddos.x86_64, é um binário ELF compactado em UPX, vinculado estaticamente, com símbolos removidos que complicam a análise estática.
Após a execução, o malware reúne detalhes do kernel e da arquitetura, verifica os limites do processo para determinar a agressividade operacional e registra a máquina vítima em sua infraestrutura de comando e controle.
Um banner de assinatura dizendo “xXxSlicexXxxVEGA” é impresso em STDOUT, correspondendo aos padrões de comportamento do V3G4 Variante Mirai documentado anteriormente pela Unit42 em 2023.
Uma vez inicializado, o malware muda para o modo furtivo, disfarçando-se como o daemon legitimasystemd-logindsystem.
Usando a chamada de sistema prctl(2), o processo tenta modificar sua aparência de linha de comando em/proc/self/cmdline, embora as proteções do kernel possam impedir essa modificação.
O malware se separa de qualquer terminal de controle usando setsid(2) e fecha fluxos de entrada/saída padrão, executando silenciosamente em segundo plano, sem visibilidade do usuário.
A botnet gera vários threads de trabalho responsáveis por operações de ataque, supervisão de watchdog e comunicação C2.
Notavelmente, ele estabelece um ouvinte TCP em 127.0.0.1:63841 que funciona como um canal interno de comunicação entre processos.
Esse tráfego de host local ajuda o malware a se misturar com daemons legítimos do sistema, tornando a atividade menos suspeita do que pipes ou memória compartilhada que podem acionar o monitoramento de segurança.
Varredura de soquete bruto e comunicação C2
Uma característica chave desta variante é o uso de soquetes TCP brutos para varredura SSH de alta velocidade na Internet.
O malware espalha pacotes SYN para a porta 22 em vários endereços IP de destino, criando manualmente cabeçalhos de pacotes IPv4 para realizar varreduras automatizadas e possíveis campanhas de força bruta.
Esse comportamento se aproxima muito das famílias de botnets derivadas do Mirai, conhecidas por operações de varredura SSH em toda a Internet.
Simultaneamente, o malware cria soquetes TCP padrão com opções de manutenção de atividade para conexões C2 persistentes.
Vários threads de trabalho resolvem agressivamente o domínio C2 www.baojunwakuang[.]Ásia por meio de consultas repetidas ao DNS público do Google (8.8.8.8), mapeando para o endereço IP 159.75.47[.]123.
Essa estratégia de resolução de DNS multithread garante canais de comando resilientes enquanto executa ataques em paralelo, uma marca registrada das botnets do estilo Mirai.
O terceiro estágio implanta um minerador Monero baseado em XMRig oculto por meio de técnicas furtivas sofisticadas. O carregador busca um binário XMRig compactado em UPX do servidor C2 e o armazena em /tmp/.dbus-daemont para combinar com processos legítimos do sistema.
Ao contrário das implantações típicas que incorporam arquivos de configuração estáticos, este minerador recebe sua configuração dinamicamente em tempo de execução, uma abordagem sem arquivo que evita artefatos no disco e dificulta a análise forense.
Durante a execução, o minerador se conecta novamente ao Servidor C2 e solicita dados de configuração, recebendo um blob JSON contendo URLs de pool, endereços de carteira, especificações de algoritmo e contagens de threads.
Esta técnica permite que os operadores alternem dinamicamente os parâmetros de mineração sem expor as informações da carteira durante a análise estática, tornando a detecção e a atribuição mais desafiadoras para os pesquisadores de segurança.
Esta campanha exemplifica a convergência dos recursos tradicionais de botnets com as modernas operações de mineração de criptomoedas.
A combinação da funcionalidade DDoS com a mineração baseada em XMRig reflete o foco dos agentes de ameaças em maximizar o retorno do investimento de dispositivos comprometidos.
As organizações que operam servidores Linux, cargas de trabalho em nuvem ou dispositivos IoT expostos enfrentam riscos elevados dessas ameaças híbridas que podem interromper simultaneamente serviços e consumir recursos computacionais.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.