CloudShovel
¿Qué es?
Cloud Shovel (o CloudShovel) es un malware de tipo rootkit que se enfoca en infectar dispositivos Linux para minar criptomonedas y realizar otras actividades maliciosas.
¿Qué hace?
Este malware, una vez se instala en el equipo, tiene capacidad para realizar las siguientes acciones:
- Esconde sus procesos en el sistema.
- Utiliza binarios empaquetados y encriptados para enmascarar su contenido.
- Utiliza binarios de proceso persistentes para la persistencia.
- Utiliza claves SSH autorizadas para la conexión con el usuario administrador para tener persistencia.
- Utiliza archivos de configuración persistentes bajo el directorio /etc.
- Utiliza archivos de biblioteca de sistemas persistentes y ocultos.
- Manipula el directorio /etc/ld.so.precarga con enlace a una biblioteca maliciosa.
- Utiliza procesos con funciones de monitoreo para reiniciarse si se cierra.
- Utiliza archivos ocultos con comandos del sistema para su gestión.
- Abre la conexión de red al servidor de comandos y control.
- Utiliza fuerza bruta en las conexiones SSH para propagarse por su red.
- Utiliza técnicas de evasión de anltimalware completa.
- Realiza conexiones con sitios no legítimos y descarga otros ficheros y programas maliciosos.
- Tiene la capacidad de minar criptomonedas en el dispositivo de la víctima.
Sistemas afectados
Los principales dispositivos afectados son:
- Sistemas con Linux.
¿Cómo me infecta?
Este malware infecta a los dispositivos a través de la descarga de adjuntos en correos de phishing y de archivos maliciosos de Internet y a través de la explotación de vulnerabilidades conocidas no parcheadas.
Cómo desinfectar mi equipo
Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.
Más información
Compartir en Redes Sociales
