Un nuevo malware dirigido a Linux está haciendo estragos, recientemente se ha informado que este software es capaz de robar claves, desactivar cualquier antivirus y tener acceso root. Está información nos confirma que hasta la fecha no hay ningún sistema operativo seguro, todos tienen su vulnerabilidad.



El descubrimiento de este nuevo troyano ha sido gracias a Dr.Web, y aunque no tiene un nombre definitivo, solo se conoce que trabaja bajo el nombre de Linux.BtcMine.174. Según se informa, este nuevo troyano es mucho más complejo a los que hemos visto anteriormente en este sistema operativo, ya que este incluye una gran cantidad de funciones de carácter malicioso.





¿Qué es lo que hace este nuevo troyano en Linux?



Este troyano es un script de shell gigante con más de 1.000 líneas de código. Este script es el primer archivo ejecutado en Linux, de esta forma infecta todo el sistema,lo primero que hace este script es encontrar una carpeta en el disco en la que tenga permisos de escritura, una vez encontrada copia toda la información para luego descargar los otros módulos.



Una vez que el troyano tiene un punto de apoyo en el sistema, utiliza uno de los dos ataques de escalado conocido como Dirty COW y CVE-2013-2094 para obtener permisos de root y tener acceso completo al sistema operativo. Luego de tener el control total, este troyano se establece como un dominio local e incluso descarga e instala la utilidad nohup sino está presente.



Ahora, cuando el troyano ya tiene un dominio firme, comienza el procesos para el que fue realmente creado, criptomonedas. También descarga y ejecuta otro malware, conocido como el troyano Bill.Gates, una conocida cepa de malware DDoS, pero también viene con muchas funciones de tipo puerta trasera. Según Dr.Web, el troyano también se agrega como una entrada de ejecución automática a archivos como /etc/rc.local , /etc/rc.d / … y /etc/cron.hourly ; y luego descarga y ejecuta un rootkit.



Este último, rootkit, tiene características mucho más intrusivas, ya que es capaz de robar contraseñas introducidas por el usuario. Se cree que este mecanismo de auto-propagación SSH es el principal canal de distribución del troyano. Debido a que el troyano también se basa en el robo de credenciales SSH válidas, esto significa que incluso si algunos de los administradores de sistemas Linux, así que deben tener mucho cuidado y proteger adecuadamente las conexiones SSH de sus servidores y solo permitir la conexión de un número seleccionado de hosts.