Os dispositivos Linux estão na mira de uma nova categoria de vírus, que se espalha automaticamente pela internet e minera criptomoedas para gerar lucros aos bandidos. Batizada de NoaBot, a rede criminosa vem se disseminando desde janeiro do ano passado, enquanto alterações em seu código demonstram um interesse dos responsáveis em se manterem ocultos.
- Ransomware e vírus ladrão de cripto estão entre principais ameaças no Linux
- 10 anos depois, conceito de zero trust segue mais importante do que nunca
É quase uma contradição, conforme apontam os pesquisadores em segurança da Akamai, responsáveis pela descoberta. O NoaBot, em si, é uma variação da botnet Mirai, conhecida desde 2016 pela infecção de dispositivos Linux para realizar ataques de negação de serviço; em vez disso, porém, ela instala o minerador XMRig, também amplamente analisado pela comunidade de proteção digital, para usar os recursos computacionais na geração de lucro.
O método de disseminação também é relativamente comum, com os dispositivos infectados buscando outros na internet, de olho no uso de senhas fracas e conexões desprotegidas. Entretanto, a aparência de pouca sofisticação se encerra por aí, com a Akamai citando métodos de ofuscação de código e adições à programação original do vírus como indícios de que agentes um pouco mais especializados podem estar por trás da campanha.
-
Canaltech no Youtube: notícias, análise de produtos, dicas, cobertura de eventos e muito mais! Assine nosso canal no YouTube
, todo dia tem vídeo novo para você!
-
Ela é disseminada em massa, mas há um cuidado de não exacerbar a quantidade de conexões. Ao longo do último ano, um dispositivo intencionalmente desprotegido e voltado para a captação de ataques — conhecido como honeypot — foi atingido quase 850 vezes. Cada uma dessas conexões, aponta a Akamai, corresponde a um dispositivo infectado em potencial, ajudando a espalhar a praga pela internet.
A China parece ser o país com maior número de contaminações, correspondendo a cerca de 10% do total de ataques analisados pela empresa de segurança. O Brasil também está na lista de atingidos, ainda que a Europa, o Oriente Médio e os EUA estejam à frente entre os territórios com maioria das detecções do NoaBot.
Vírus tem base conhecida, mas potencial oculto
O uso da botnet Mirai em ataques cibernéticos distribuídos em massa é comum há pelo menos sete anos e aumentou desde que o código fonte da praga foi divulgado publicamente por seus autores . A capacidade de se autorreplicar vem daí, mas o NoaBot chama a atenção pelo trabalho empregado em ocultar suas origens e, principalmente, os responsáveis pela campanha.
De acordo com a Akamai, esforços claros de ocultação de códigos e origem foram tomadas antes da botnet ver a luz do dia. Entre eles estão o uso de bibliotecas alternativas de compilação e a tomada de medidas para dificultar a engenharia reversa, assim como o uso de pastas aleatórias nos sistemas contaminados, complicando também a identificação de uma infecção.
O relatório da Akamai aponta ainda para a inserção de capacidades de exploração adicional, após a infecção inicial e automatizada. Ainda que golpes posteriores não tenham sido identificados, o NoaBot é cria uma porta de entrada para a execução de novos vírus ou propagação adicional, indicando potencial de uso ainda mais malicioso no futuro.
O uso exacerbado de recursos de processamento é o principal sinal de contaminação por um minerador de criptomoedas desse tipo. Enquanto isso, para evitar a infecção inicial, é importante ter dispositivos sempre atualizados e protegidos, com senhas seguras e protocolos de segurança aplicados de maneira adequada .
Leia a matéria no Canaltech .
Trending no Canaltech:
- Xiaomi lança POCO X6, X6 Pro e M6 Pro com preço baixo e proteção contra água
- Calendário lunar 2024 | Datas das fases da lua neste ano
- Galaxy S24, Plus e Ultra: mega vazamento detalha tudo do trio da Samsung
- As 50 piadas mais engraçadas do Google Assistente
- CES 2024 | Amazon adota padrão aberto para rivalizar com Chromecast
- Os 45 filmes mais esperados de 2024