Cryptominers op Linux installeren rootkits om zichzelf te verbergen

Beveiligingsonderzoekers van Trend Micro hebben een nieuwe variant van malware ontdekt die cryptovaluta minet op Linux-computers. De malware onderscheidt zich van andere, omdat het een rootkit downloadt om het gedrag van het besturingssysteem te wijzigen en het ongewenste hoge CPU-verbruik dat met het mijnen meekomt verbergt.

De malware wordt door Trend Micro KORKERDS genoemd. De organisatie heeft nog niet weten te identificeren hoe de malware een systeem infecteert, maar ze denken niet dat de golf van infecties het resultaat is van een massale hacking-campagne. De onderzoekers denken dat ze vergiftigde Linux-applicaties die aangepast zijn om stilletjes de KORKERDS-miner te downloaden en installeren tijdens het installatieproces van een legitieme app. Trend Micro weet echter niet welke app dat is.

De rootkit die daarbij geïnstalleerd wordt laat KORKERDS niet alleen het rebooten van het besturingssysteem overleven, maar bevat ook een stuk code om het belangrijkste proces van de miner te verbergen van de procesmonitoring-tools van Linux zelf. “De rootkit koppelt de readdir en readdir64 API’s van de libc library. De rootkit overschrijft het normale library-bestand door het normale readdir-bestand door zijn eigen versie te vervangen”, aldus de onderzoekers.

De malafide versie van readdir werkt door processen genaamd “kworkerds” te verbergen, wat het proces is van de miner. De tools van Linux tonen echter wel dat 100 procent van de CPU gebruikt wordt, maar administrators kunnen het proces dat de CPU misbruikt niet zien en beëindigen.

Windows-gebruikers

De malware is mogelijk niet alleen een dreiging voor servers, maar ook voor desktop-gebruikers, omdat de malware zich verspreidt via legitieme apps. Daarnaast publiceerde Trend Micro een rapport over een andere variant van malware dat zich richt op Windows-gebruikers en diverse technieken gebruikt om zich te verbergen op het geïnfecteerde systeem.