Un fan de Krebs creó un nuevo troyano

21 de agosto de 2017

Los troyanos miners que usan los recursos de computación de los equipos para obtener criptodivisa sin autorización de sus titulares se conocen a partir del año 2011. En los años pasados, el interés hacía los mismos por parte de los malintencionados sigue siendo el mismo, lo que confirma la aparición de los nuevos programas nocivos de este tipo.

Los troyanos miners aparecen con bastante regularidad, así mismo, los analistas de virus de Doctor Web destacan una tendencia curiosa: los creadores de estos programas siempre prestan más atención a la plataforma Linux. Últimamente se difundieron los dispositivos “inteligentes” que funcionan bajo la administración de Linux, cuyos titulares cambian la configuración predeterminada, sobre todo el nombre de usuario y la contraseña del administrador. Es por eso que el hackeo de estos dispositivos no es ningún problema para los ciberdelincuentes.

Otro troyano miner destinado para funcionar bajo la administración del SO Linux fue llamado Linux.BtcMine.26. El esquema de su difusión parece al mecanismo de infección por el troyano Linux.Mirai: los malintencionados se conectan al dispositivo atacado por protocolo Telnet, al averiguar el nombre de usuario y la contraseña, y luego guardan el programa cargador en el mismo. Luego los malintencionados inician este programa desde el terminal usando un comando de consola, y el troyano Linux.BtcMine.26 se carga al dispositivo.

El análisis del cargador del miner reveló una peculiaridad curiosa de esta aplicación: en su código varias veces podemos encontrar la dirección del sitio web krebsonsecurity.com perteneciente al experto conocido en seguridad informática, Brian Kerbs. Por lo visto, el autor del troyano es un fan del mismo.

El troyano está destinado para el mining de Monero (XMR) — la criptodivisa creada en el año 2014. Actualmente existen compilaciones de Linux.BtcMine.26 para arquitecturas hardware x86-64 y ARM. Las características de presencia de este miner pueden ser peor rendimiento del dispositivo y mayor desprendimiento de calor durante su funcionamiento. El método más seguro de prevención de la infección por los troyanos similares es el cambio oportuno del nombre de usuario y la contraseña predeterminados en el dispositivo, así mismo, se recomienda usar contraseñas complicadas resistentes al compromiso usando el diccionario. Así mismo, se recomienda restringir la posibilidad de cambio de configuración del dispositivo a distancia en caso de conexiones externas al mismo.

La firma Linux.BtcMine.26 fue añadida a las bases del Antivirus.Web para Linux, así que este troyano no es de peligro para nuestros usuarios.