![\"New](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEg-ytbjowjqxThLpvsB-FvoxRkrGgnpeIkmqLe_lsrtaPIUi646CXBz9GY8oPalBvRln7_ZOvjxOmEK5LFaz53fsxND0xZ9B31hiCnFD2RJaZAYuXNkfX5_9805__4tVIoxJWoYowmvTz2GqN16nM1M286vjcWSvpx2-zFscTFDhf2GW-fQAiCPw2u0\/s728-e100\/linux-malware.jpg\" "\\"New")
<\/a><\/div>\nUma vez implantado em um host de destino, a cadeia de ataque baixa e executa o medidor ” Mettle ” do Metasploit para maximizar o controle, explorar vulnerabilidades para elevar seus privil\u00e9gios, adicionar persist\u00eancia no host via crontab e finalmente lan\u00e7a um minerador de criptomoedas em dispositivos infectados.<\/p>\n
\u00a0<\/p>\n
O m\u00e9todo exato pelo qual o comprometimento inicial \u00e9 alcan\u00e7ado ainda \u00e9 desconhecido, mas o que torna o Shikitega evasivo \u00e9 sua capacidade de baixar cargas \u00fateis do pr\u00f3ximo est\u00e1gio de um servidor de comando e controle (C2) e execut\u00e1-las diretamente na mem\u00f3ria.<\/p>\n
\u00a0<\/p>\n
\u00a0<\/p>\n
<\/a><\/div>\n<\/center><\/div>\n\u00a0<\/p>\n
\u00a0<\/p>\n
O escalonamento de privil\u00e9gios \u00e9 obtido por meio da explora\u00e7\u00e3o de CVE-2021-4034 (tamb\u00e9m conhecido como PwnKit) e CVE-2021-3493 , permitindo que o advers\u00e1rio abuse das permiss\u00f5es elevadas para buscar e executar os scripts de shell do est\u00e1gio final com privil\u00e9gios de root para estabelecer persist\u00eancia e implantar o Minerador de criptomoedas Monero.<\/p>\n
\u00a0<\/p>\n
Em mais uma tentativa de voar sob o radar, os operadores de malware empregam um codificador polim\u00f3rfico ” Shikata ga nai ” para dificultar a detec\u00e7\u00e3o por mecanismos antiv\u00edrus e abusar de servi\u00e7os de nuvem leg\u00edtimos para fun\u00e7\u00f5es C2.<\/p>\n
\u00a0<\/p>\n
Shikitega tamb\u00e9m \u00e9 indicativo de uma tend\u00eancia de atores mal-intencionados de expandirem seu alcance de ataque para acomodar o sistema operacional Linux que \u00e9 amplamente usado em plataformas e servidores em nuvem em todo o mundo, contribuindo para um aumento nas infec\u00e7\u00f5es por ransomware LockBit e Cheerscrypt.<\/p>\n
\u00a0<\/p>\n
De acordo com o Relat\u00f3rio de meio ano de seguran\u00e7a cibern\u00e9tica da Trend Micro 2022 , “o surgimento dessas novas fam\u00edlias de ransomware Linux corresponde diretamente […] a um aumento de 75% nos ataques de ransomware direcionados a sistemas Linux no primeiro semestre de 2022 em compara\u00e7\u00e3o com o primeiro semestre de 2021. “<\/p>\n
\u00a0<\/p>\n
\u201cOs agentes de amea\u00e7as continuam procurando maneiras de distribuir malware de novas maneiras para permanecer sob o radar e evitar a detec\u00e7\u00e3o\u201d, declarou Ofer Caspi, pesquisador da AT&T Alien Labs.<\/p>\n
\u00a0<\/p>\n
“O malware Shiketega \u00e9 entregue de maneira sofisticada, usa um codificador polim\u00f3rfico e entrega gradualmente sua carga \u00fatil, onde cada etapa revela apenas parte da carga \u00fatil total.”<\/p>\n
\u00a0<\/p>\n
Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/09\/new-stealthy-shikitega-malware.html\u00a0<\/a> (Autor: