Дослідники Trend Micro виявили незвичайний прихований майнер під Linux

Аналітики що спеціалізуються на кібербезпеці японської компанії Trend Micro виявили криптовалютний майнер KORKERDS, для якого характерно нетипова поведінка. Про це повідомляється на сайті компанії.

Дослідники поки точно не з’ясували, як саме поширюється загроза. Однак, швидше за все, його завантаження відбувається після встановлення скомпрометованого плагіну.

Видобувного криптовалюту Monero (XMR) майнеру дослідники присвоїли ідентифікатор Coinminer.Linux.KORKERDS.AB. Примітно, що також використовується інший компонент — руткіт (Rootkit.Linux.KORKERDS.AA), який «ховає» процес майнінгу від інструментів для моніторингу.

Після початку роботи прихованого майнера в системі завантаження процесора зростає до 100%. Однак користувачеві непросто з’ясувати причину цього. Ситуацію ускладнює руткіт, який використовує хуки для API readdir і readdir64, і бібліотеки libc. Нормальний файл бібліотеки перезаписується, при цьому readdir підміняється фальшивої версією.

Шкідлива версія readdir використовується для приховування процесу майнінгу (kworkerds). Після цього виявити майнер стає набагато складніше, незважаючи на те, що завантаження процесора свідчить про підозрілу активність.

За словами дослідників, новий майнер може являти загрозу не тільки для серверів, але і для звичайних користувачів Linux.

Нагадаємо, в червні аналітики Palo Alto Networks повідомили, що 5% монет Monero здобуті з допомогою прихованого майнінгу.

Читайте також  Fortnite Merch Store почав приймати криптовалюту Monero

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *