Este malware furtivo pretende ser trampas para juegos asi que

Un nuevo informe ha destacado el hecho de que algunos piratas informáticos no están interesados ​​en instalar malware o virus en los dispositivos de destino, sino que se esfuerzan por llevar todo su conjunto de herramientas al dispositivo de la víctima, lo que les ayudaría a elegir la mejor herramienta maliciosa para cada uno. individual. objetivo.

La investigación de Sysdig, que llama al método «Bring Your Own Filesystem», o BYOF para abreviar, encontró que el método ha funcionado hasta ahora en dispositivos Linux, gracias a una utilidad vulnerable llamada PRoot.

Según Sysdig, los actores de amenazas crearían un sistema de archivos malicioso completo en sus propios dispositivos, luego lo descargarían y montarían en el punto final comprometido. De esta manera, obtienen un conjunto de herramientas preconfigurado que les ayuda a comprometer aún más los sistemas Linux.

Instalación de cryptojackers

«Primero, los actores de amenazas crean un sistema de archivos malicioso que se implementará. Este sistema de archivos malicioso incluye todo lo que la operación necesita para tener éxito», dijo Sysdig en su informe. «Hacer esta preparación en esta etapa temprana permite que todas las herramientas se descarguen, configuren o instalen en el propio sistema del atacante lejos de las miradas indiscretas de las herramientas de detección».

Aunque la compañía de software hasta ahora solo ha observado el método utilizado para instalar mineros de criptomonedas en estos dispositivos, dice que existe la posibilidad de ataques más disruptivos y dañinos.

PRoot es una herramienta de utilidad que permite a los usuarios crear sistemas de archivos raíz aislados en Linux. Aunque la herramienta está diseñada para que todos los procesos se ejecuten en el sistema de archivos invitado, hay formas de mezclar programas host e invitados, de los que abusan los actores de amenazas. Además, los programas que se ejecutan en el sistema de archivos invitado pueden usar el mecanismo integrado de montaje/enlace para acceder a archivos y directorios en el sistema host.

Aparentemente, abusar de PRoot para propagar malware es relativamente fácil, ya que la herramienta está compilada estáticamente y no requiere dependencias adicionales. Todo lo que los piratas informáticos tienen que hacer es descargar el binario preempaquetado de GitLab y montarlo en el punto final de destino.

«Cualquier dependencia o configuración también se incluye en el sistema de archivos, por lo que el atacante no necesita ejecutar ningún comando de configuración adicional», explica Sysdig. «El atacante ejecuta PRoot, lo apunta al sistema de archivos malicioso descomprimido y especifica el binario XMRig para ejecutar».

Vía: BleepingComputer (se abre en una nueva pestaña)

Share This