Een nieuwe cryptominer die Linux-systemen infecteert verwijdert niet alleen concurrerende cryptominers, ook aanwezige anti-virussoftware wordt verwijderd. Hoe de malware precies op Linux-systemen terechtkomt laat anti-virusbedrijf Doctor Web niet weten.

Eenmaal actief op een systeem zoekt de cryptominer naar concurrerende cryptominers en verwijdert die. Wanneer de cryptominer niet met rootrechten is gestart gebruikt het twee kwetsbaarheden in Linux om de rechten te verhogen. Het gaat om een beveiligingslek uit 2013 en de Dirty COW-kwetsbaarheid uit 2016. Vervolgens zoekt de cryptominer naar de aanwezigheid van bepaalde anti-virussoftware. De malware stopt niet alleen de processen van de virusscanners, ook gebruikt het package managers om die te verwijderen.

Na deze acties voegt de malware zich toe aan de Autorun-list en start een rootkit op het apparaat. Pas na al deze stappen wordt de daadwerkelijke cryptominer gestart die de rekenkracht van het systeem gebruikt om de cryptovaluta Monero te delven. Het gebruik van rootkits door cryptominers is niet nieuw. Onlangs waarschuwde ook anti-virusbedrijf Trend Micro dat het een cryptominer had gevonden die van een rootkit-componet was voorzien. De rootkit verbergt het proces dat voor het delven van de cryptovaluta verantwoordelijk is voor monitoringtools.

“Cryptomining-malware kan voor grote prestatieproblemen zorgen, met name op Linux-systemen, gegeven hun gebruik in het draaien en beheren van bedrijfsprocessen, van servers, workstations, ontwikkelframeworks en databases tot mobiele apparaten”, zegt analist Augusto II Remillano van Trend Micro. Beheerders krijgen dan ook het advies om “securityhygiëne” toe te passen, zoals het regelmatig installeren van patches, het verkleinen van het aanvalsoppervlak via access control policies, het hardenen van systemen via security-extensies en het toepassen van het “least privilige”principe.

Image