A AT&T Alien Labs descobriu um novo malware para Linux, chamado Shikitega, que infecta computadores e dispositivos IoT (internet das coisas) com várias cargas úteis. O malware aproveita as falhas de segurança para obter escalonamento de privilégios e estabelecer persistência. Depois que o invasor controla o sistema, um minerador de criptomoeda é implantado.
Conforme apontado pela AT&T Alien Labs, o Shikitega envolve uma cadeia de infecção em várias etapas. Ele fornece algumas centenas de bytes por camada para estimular a ativação do módulo. Cada módulo responde a uma parte diferente da carga útil — após a qual o próximo é executado — e tem uma tarefa específica, como baixar/executar o meterpreter Metasploit, configurar a persistência no dispositivo infectado, explorar falhas do Linux e baixar/executar um cryptominer.
O malware permite que os invasores controlem o sistema completamente e executem criptomineradores. O método para a violação inicial ainda é desconhecido. A primeira camada de infecção é um arquivo ELF de 370 bytes contendo o shellcode codificado. Após a conclusão da descriptografia, a carga útil final do Mettle, backdoor avançada do Metasploit,com execução remota de código e recursos de controle é executada por meio de “int 0x80”, que ajuda a executar a syscall apropriada.
Veja isso
CISA alerta para falha de segurança no UnRAR no Linux
Novo ransomware mira servidores Windows e Linux VMware ESXi
O Shikitega usa um codificador de feedback aditivo XOR polimórfico apelidado de Shikata Ga Nai. Ele foi examinado anteriormente por pesquisadores, que relataram que cada shellcode codificado que ele cria é diferente do resto porque usa várias técnicas, como ordenação dinâmica de blocos, substituição dinâmica de instruções e randomização do espaçamento de instruções entre instruções. Na campanha atual, esse codificador é empregado para tornar complexa a detecção por mecanismos antivírus e explorar serviços em nuvem.
O Shikitega é um malware evasivo porque pode baixar cargas úteis do próximo estágio de um servidor de comando e controle (C&C) e executá-las diretamente na memória. Ele alcança o escalonamento de privilégios por meio da exploração do PwnKit ou CVE-2021-4034 e CVE-2021-3493. O invasor pode facilmente abusar das permissões elevadas para buscar os scripts de shellcode do estágio final com privilégios de root e implantar o Monero cryptominer. Com sites e agências de notícias internacionais.