Аналітики, які спеціалізуються на кібербезпеці японської компанії Trend Micro, виявили криптовалютний майнер KORKERDS, для якого характерна трохи нетипова поведінка. Про це повідомляється на сайті компанії.
Дослідники поки точно не з'ясували, як саме поширюється загроза. Однак, найімовірніше, його завантаження відбувається після установки ПО або через скомпрометований плагін.
Monero (XMR) майнеру, що отримує криптовалюту, дослідники присвоїли ідентифікатор Coinminer.Linux.KORKERDS.AB. Примітно, що також використовується інший компонент – руткіт (Rootkit.Linux.KORKERDS.AA), який "ховає" процес майнінг від інструментів для моніторингу.
Після початку роботи прихованого майнера в системі завантаження процесора зростає до 100%. Однак користувачеві непросто з'ясувати причину цього. Ситуацію ускладнює руткіт, який використовує хукі для API readdir і readdir64, і бібліотеки libc. Нормальний файл бібліотеки перезаписується, при цьому readdir підміняється фальшивою версією.
Шкідлива версія readdir використовується для приховування процесу майнінг (kworkerds). Після цього виявити майнер стає набагато складніше, незважаючи на те, що завантаження процесора свідчить про підозрілу активність.
За словами дослідників, новий майнер може становити загрозу не тільки для серверів, але і для звичайних користувачів Linux.
Джерело: segodnya.ua