Novo Malware Migo Visando Servidores Redis para Mineração de Criptomoedas
21 de Fevereiro de 2024

Uma nova campanha de malware foi observada visando servidores Redis para acesso inicial com o objetivo final de minerar criptomoedas em hosts Linux comprometidos.

"Esta campanha particular envolve o uso de várias técnicas inovadoras de enfraquecimento do sistema contra o próprio armazenamento de dados", disse o pesquisador de segurança Matt Muir da Cado, em um relatório técnico.

O ataque de criptojacking é facilitado por um malware codinome Migo, um binário ELF Golang que vem equipado com ofuscação em tempo de compilação e a capacidade de persistir em máquinas Linux.

A empresa de segurança na nuvem disse que detectou a campanha depois de identificar uma "série incomum de comandos" visando seus honeypots Redis que são projetados para diminuir as defesas de segurança, desativando as seguintes opções de configuração -

modo protegido
réplica somente leitura
aof-rewrite-incremental-fsync, e
rdb-save-incremental-fsync

Suspeita-se que essas opções sejam desativadas para enviar comandos adicionais ao servidor Redis a partir de redes externas e facilitar a exploração futura sem atrair muita atenção.

Esta etapa é seguida pelos atores de ameaças que configuram duas chaves Redis, uma apontando para uma chave SSH controlada pelo atacante e a outra para um trabalho cron que recupera a payload maliciosa de um serviço de transferência de arquivos chamado Transfer.sh, uma técnica previamente detectada em 2023.

O script shell para buscar o Migo usando o Transfer.sh é incorporado dentro de um arquivo Pastebin que é obtido usando um comando curl ou wget.

O binário ELF baseado em Go, além de incorporar mecanismos para resistir à engenharia reversa, atua como um downloader para um instalador XMRig hospedado no GitHub.

Ele também é responsável por realizar uma série de etapas para estabelecer persistência, encerrar mineradores competidores e lançar o minerador.

Além disso, o Migo desativa o Linux aprimorado de segurança (SELinux) e procura por scripts de desinstalação para agentes de monitoramento embalados em instâncias de computação de provedores de nuvem como Qcloud e Alibaba Cloud.

Ele ainda implanta uma versão modificada ("libsystemd.so") de um popular rootkit de modo de usuário chamado libprocesshider para esconder processos e artefatos no disco.

Vale a pena salientar que essas ações se sobrepõem às táticas adotadas por grupos de criptojacking conhecidos como TeamTNT, WatchDog, Rocke, e atores de ameaças associados ao malware SkidMap.

"Curiosamente, o Migo parece iterar recursivamente por arquivos e diretórios em /etc", observou Muir.

"O malware apenas lerá arquivos nessas localizações e não fará nada com o conteúdo."

"Uma teoria é que isso poderia ser uma tentativa (fraca) de confundir soluções de análise dinâmica e de sandbox, realizando um grande número de ações benignas, resultando em uma classificação não maliciosa."

Outra hipótese é que o malware esteja procurando por um artefato que seja específico para um ambiente alvo, embora a Cado tenha dito que não encontrou evidências para apoiar esse raciocínio.

"Migo demonstra que os atacantes focados na nuvem continuam a refinar suas técnicas e melhorar sua capacidade de explorar serviços voltados para a web", disse Muir.

"Embora libprocesshider seja frequentemente usado por campanhas de criptojacking, esta variante em particular inclui a capacidade de esconder artefatos no disco, além dos próprios processos maliciosos."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...