بدافزار جدیدی توسط پژوهشگران TrendMicro کشف شده است که به منظور کاوش رمزارز با استفاده از روت‌کیت‌ها خود را در سیستم‌های لینوکس مخفی می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، این بدافزار Skidmap نام دارد و با استفاده از روت‌کیت‌های کرنلی، وجود خود را در سیستم آلوده مبهم‌سازی و دسترسی نامحدود به منابع سیستم را برای مهاجمین فراهم می‌کند.
بدافزار Skidmap پس از آلودگی سیستم، خود را از طریق crontab و یک اسکریپت نصب، payload اصلی تروجان را بارگیری می‌کند، که در ادامه ماژول‌های (Security-Enhanced Linux (SELinux را دستکاری می‌کند تا سطح امنیت کلی سیستم را کاهش دهد. سپس یک درپشتی ایجاد می‌شود. این کار با افزون کلید عمومی اپراتور بدافزار به فایل کلیدهای مجاز سیستم لینوکسی انجام می‌شود. بدافزار ماژول دیگری که برای احراز هویت Unix استفاده می‌شود را با یک نسخه مخرب جایگزین می‌کند که اجازه می دهد گذرواژه “master” برای هر کاربر ثبت شده در دستگاه هدف پذیرفته شود. درنتیجه مهاجم می‌تواند به جای هر کاربر دیگر – با هر سطح دسترسی – وارد سیستم شود. در ادامه مولفه استخراج رمزارز Skidmap بسته به اینکه دستگاه مورد نظر Debian یا RHEL / CentOS باشد، یک نرم افزار مستقل یا یک فایل tar.gz رمزگذاری شده را منتقل می‌کند.
یکی از ویژگی‌های جالب این بدافزار، مدیریت کرنل است. بسیاری از عملگرهای Skidmap درخواست دسترسی به روت را دارند، بنابراین از روت‌کیت‌های کرنلی برای تأمین دسترسی مورد نیاز خود استفاده و با اینکار شناسایی آلودگی و فعالیت‌های کاوش رمزارز را مشکل می‌کند. یک روت‌کیت می‌تواند آمارهای مربوط به ترافیک شبکه و پردازنده را جعل کند تا دستگاه بدون آلودگی بدافزاری بنظر برسد. بار سنگین پردازنده یکی از راه‌های شناسایی وجود کاوش‌گر رمزارز در سیستم است که با جعل آمارهای آن توسط Skidmap، این موضوع پنهان می‌ماند.

نشانه‌های آلودگی (IoC):

منبع خبر: مرکز مدیریت راهبردی افتا