Компания Trend Micro обнаружила новый вид скрытого майнера, использующего для маскировки своей работы руткит – процесс, запускающий на сервере утилиты и программы, прикрывающие добычу криптовалюты. Малвар направлен на заражение серверов, но специалисты предупреждают о его опасности для обычных пользователей Linux.

После заражения, которое происходит с установкой фишингового ПО или плагина обозревателя, вирус получает права root и подменяет библиотеку libc на собственную версию, после чего запускаются хуки readdir, скрывающие запущенный скрытый майнинг. Пользователь видит 100% загруженность CPU вредоносным процессом, но не может вычислить его с помощью программ мониторинга.

Вирус получил идентификатор Coinminer.Linux.KORKERDS.AB специалистами пока точно не установлены пути его проникновения в систему. Майнер добывает Monero и отправляет монеты на удаленные кошельки. Эксперты констатируют, что это первый случай, когда малвар используют руткит в качестве второго компонента, защищающего вредонос от мониторинга, что делает бесполезными все существующие на сегодняшний день программы обнаружения скрытой добычи критовалют.

Комментировать статью

Please enter your comment!
Please enter your name here

два × два =