Hackers estão usando o utilitário Linux PRoot de código aberto em ataques BYOF (acrônimo de bring your own filesystem, ou traga seu próprio sistema de arquivos) para fornecer um repositório consistente de ferramentas maliciosas que funcionam em muitas distribuições Linux.
Um ataque BYOF ocorre quando operadores de ameaças criam um sistema de arquivos malicioso em seus próprios dispositivos que contém um conjunto padrão de ferramentas usadas para realizar ataques. Esse sistema de arquivos é então baixado e “montado” em máquinas comprometidas, fornecendo um kit de ferramentas pré-configurado que pode ser usado para comprometer ainda mais um sistema Linux.
“Primeiro, os operadores de ameaças constroem um sistema de arquivos malicioso para ser implantado. Esse sistema inclui tudo o que a operação precisa para ter sucesso”, explica um novo relatório da Sysdig. “Fazer essa preparação no estágio inicial permite que todas as ferramentas sejam baixadas, configuradas ou instaladas no próprio sistema do invasor, longe dos olhares indiscretos das ferramentas de detecção”, completa o documento.
A Sysdig diz que os ataques normalmente têm como objetivo a mineração de criptomoedas, embora falcatruas mais prejudiciais sejam possíveis. Os pesquisadores da empresa também alertam sobre como essa nova técnica pode facilitar o dimensionamento de operações maliciosas contra terminais Linux de todos os tipos.
Veja isso
Ataques de ransomware a sistemas Linux aumentam 75%
Malware Shikitega para Linux é usado para minerar criptomoeda
O PRoot é um utilitário de código aberto que combina os comandos ‘chroot’, ‘mount -bind’ e ‘binfmt_misc’, permitindo aos usuários configurar um sistema de arquivos raiz isolado no Linux. Os ataques registrados pela Sysdig usam o PRoot para implantar um sistema de arquivos malicioso em sistemas já comprometidos que incluem ferramentas de varredura de rede como “masscan” e “nmap”, o criptominerador XMRig e seus arquivos de configuração.
O sistema de arquivos contém tudo o que é necessário para o ataque, compactado em um arquivo tar com o Gzip, com todas as dependências necessárias, baixado diretamente de serviços confiáveis de hospedagem em nuvem, como o DropBox. Como o PRoot é compilado estaticamente e não requer nenhuma dependência, os operadores de ameaças simplesmente baixam o binário pré-compilado do GitLab e o executam no sistema de arquivos baixado e extraído do invasor para “montá-lo”.
Como a Sysdig destaca no relatório, os operadores de ameaças podem facilmente usar o PRoot para baixar outras cargas úteis, além do XMRig, potencialmente causando danos mais graves ao sistema violado. Além disso, os ataques apoiados pelo PRoot tornam a configuração do ambiente irrelevante para os hackers, permitindo-lhes escalar rapidamente suas operações maliciosas. Com agências de notícias e sites internacionais.