Imagem de UMassAmherst
Os sistemas Linux foram atacados por diferentes tipos de malware e worms no passado, incluindo o famoso Mirai, que literalmente significa futuro japonês. Mirai foi desenvolvido por três estudantes americanos e foi considerado mortal para o Linux. Recentemente, um novo tipo de worm está vagando e gradualmente se infiltrando nos sistemas do Linux e sendo considerado bastante agressivo por especialistas em malware. Embora as informações e fatos em torno desta nova adição à família de worm do Linux ainda sejam vagos, algumas notícias autênticas de um usuário do Twitter chegaram.
De acordo com o usuário do Twitter @VessOnSecurity (um especialista em antivírus, malware e infosec), um novo worm ou malware foi descoberto nos sistemas Linux.
O link de seu tweet pode ser acessado aqui:
Ainda não tenho ideia do que seja, mas está se espalhando de forma MUITO agressiva: https://t.co/jrRg5aXxSt
O padrão de ataque é vagamente semelhante ao Mirai, mas NÃO é Mirai. O executável é compactado, os comandos são bastante polimórficos.
- Vess (@VessOnSecurity) 30 de junho de 2018
Ele afirma que pouco se sabe sobre o que realmente é, mas parece estar se espalhando no Linux de forma bastante agressiva. O padrão de ataque em sua opinião parece ser o de Mirai, no qual um botnet poderia se aninhar em mais de 500.000 sistemas Linux IoT, mas certamente não é Marai desta vez, já que os uploads neste worm vêm de milhares de IPs diferentes em vez de um poucos repositórios como foi o caso com Mirai. Seu tweet afirma: ‘O executável está compactado, os comandos são bastante polimórficos.” O executável específico que ele menciona parece estar no mercado há uma semana e está sendo bastante notado, mas o malware original é mais antigo e transforma seu código regularmente.
Imagem retirada de BornCity
@VessOnSecurity passou para compartilhe um mapa que exibiu países que o SSH Honeypot e Telnet estão acessando com mais frequência. Os EUA, como esperado, ocupam a primeira posição. O mapa mostra um número incomumente grande de URLs e IPs exclusivos atribuídos ao worm do tipo Mirai que está se infiltrando nos sistemas Linux.
Resumo mensal dos resultados de nosso honeypot Telnet e SSH.
Primeiro, o quadro geral. Como de costume, os EUA ocupam o primeiro lugar.
Observe o número excepcionalmente grande de IPs e URLs exclusivos. O motivo é o verme parecido com o Mirai que mencionei outro dia. pic.twitter.com/C5mOJTPhJp
- Vess (@VessOnSecurity) 30 de junho de 2018
Isso significa que os sistemas de ataque estão localizados principalmente nos Estados Unidos, mas outros países como Holanda, França, Itália, Inglaterra, Grécia, Irlanda, Polônia, Alemanha e Romênia também são culpados.
Mais detalhes sobre a natureza, profundidade do alvo e agressividade do worm devem ser lançados em breve.
Tag linux malware