21 sierpnia 2017

Trojany “górnicze”, które wykorzystują zasoby komputera do wydobywania kryptowalut, są znane od 2011 roku. W ostatnich latach zainteresowanie przestępców takimi złośliwymi programami nie zanikło, czego dowodem jest pojawianie się nowych programów tego typu.

Trojany górnicze pojawiają się dość regularnie, a analitycy wirusów Doctor Web zauważyli ciekawy trend: twórcy tych programów wzięli sobie obecnie za cel platformę systemu Linux. Po części wzięło się to stąd, że urządzenia typu „smart” pracujące pod kontrolą Linuxa stały się ostatnio bardzo popularne, a posiadacze tych urządzeń nie zmieniają ich domyślnych ustawień, szczególnie loginu i hasła administratora. To dlatego włamanie się do tych urządzeń nie jest znaczącym problemem dla cyberprzestępców.

Linux.BtcMine.26 jest kolejnym trojanem górniczym dla urządzeń z systemem Linux. Jego schemat dystrybucji jest podobny do mechanizmu infekcji trojanem Linux.Mirai: cyberprzestępcy łączą się z atakowanym urządzeniem z użyciem protokołu Telnet, podają domyślny login i hasło, a następnie zapisują na urządzeniu program ładujący trojana. Potem, używając poleceń konsoli uruchamiają program ładujący z poziomu terminala i w ten sposób Linux.BtcMine.26 zostaje pobrany na urządzenie.

Analiza programu ładującego trojana górniczego ujawniła osobliwą cechę tej aplikacji: w jej kodzie źródłowym kilkakrotnie pojawia się adres krebsonsecurity.com. Ta strona www jest własnością dobrze znanego eksperta z zakresu cyberbezpieczeństwa, Bryana Krebsa. Najwyraźniej autor tego trojana jest jego cichym wielbicielem.

Trojan został zaprojektowany do pozyskiwania jednostek Monero (XMR), kryptowaluty stworzonej w 2014 roku. Wiadomo że obecne instancje Linux.BtcMine.26 istnieją w wersjach dla architektury sprzętowej x86-64 i ARM. Za obecnością trojana górniczego w systemie mogą przemawiać następujące charakterystyczne sygnały: spadek szybkości działania urządzenia i wzrost emisji ciepła podczas jego pracy. Najbardziej pewnym sposobem zapobieżenia zainfekowaniu urządzeń przez te trojany jest bezzwłoczna zmiana domyślnego loginu i hasła na swoje własne. Zaleca się użycie na tyle złożonych haseł, że nie będą one mogły być złamane z użyciem metody słownikowej. Zaleca się też włączenie ograniczeń na zdalne wprowadzanie dowolnych zmian w ustawieniach urządzenia z użyciem zestawionych z nim połączeń zewnętrznych.

Sygnatura Linux.BtcMine.26 została dodana do bazy Antywirusa Dr.Web dla Linuxa, więc ten trojan nie stanowi zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana