Este malware Linux visa dispositivos Raspberry Pi inseguros

9 de junho de 2017

Alguns dispositivos Raspberry Pi são suscetíveis a um malware que escraviza os dispositivos para minerar criptomoeda. Se estiver executando um dispositivo Raspberry Pi com a credencial de login padrão, você estará em risco.

Um malware Linux, Linux.MulDrop.14, que infecta dispositivos Raspberry Pi foi detectado. O malware foi detectado em meados de maio de 2017 com o objetivo de minerar criptomoeda em dispositivos Raspberry Pi, sendo o Rasberry Pi 2 o mais vulnerável.

De acordo com Dr. Web, o fabricante russo de antivírus, o malware vem na forma de um script Bash que contém um programa de mineração compactado com gzip e criptografado com base64. Depois de iniciado, o script fecha muitos processos e instala bibliotecas como Zmap e sshpass necessárias para sua operação.

Quais dispositivos Raspberry Pi são suscetíveis?

O malware tem como alvo dispositivos Raspberry Pi com portas SSH abertas para conexões externas. Ele obtém acesso ao dispositivo usando o login pi do Raspberry Pi padrão e a senha raspberry.

O malware muda a senha do usuário e continua instalando os programas de mineração de criptomoedas. Posteriormente, ele instala o Zmap, a ferramenta de varredura da Internet, para fazer a varredura na Internet em busca de outros dispositivos Raspberry Pi vulneráveis com porta SSH aberta e credenciais de login padrão.

Basicamente, ele tem como alvo as placas Raspberry Pi que usam login e senha padrão e têm uma porta SSH aberta. Considerando que o usuário padrão ainda tem acesso de administrador para instalar aplicativos, o malware pode usar essa vulnerabilidade para instalar qualquer tipo de programa.

Como proteger seu dispositivo Raspberry Pi contra este ataque de malware

Versões mais antigas dos dispositivos Raspberry Pi que não foram atualizados por um tempo podem ser mais vulneráveis ao Linux.MulDrop.14 porque eles têm a porta SSH aberta por padrão.

Existem duas maneiras de proteger seu dispositivo contra esse malware:

  • Atualize o sistema operacional. Ao fazer isso, a id da porta SSH é desabilitada. Raspbian desativou o servidor SSH por padrão em novembro de 2016 para forçar os usuários a alterar a senha padrão.

  • Altere a senha padrão. A melhor maneira de parar o ataque de malware é alterando sua senha e login padrão, uma vez que eles infectam usando o usuário e senha padrão do Raspberry Pi. Isso protege um dispositivo que ainda não foi atacado pelo malware.

Linux.MulDrop.14 está vindo após outro, Linux.ProxM, detectado em fevereiro de 2017. Este malware Linux inicia o servidor proxy SOCKS em dispositivos infectados. Isso permite que o autor do cavalo de Tróia o use para retransmitir tráfego malicioso, disfarçando sua localização e identidade real. Os pesquisadores dizem que ele infectou mais de 10.000 sistemas antes de ser detectado pela primeira vez.

Em risco?

Como Abhishek disse, se você estiver usando uma senha de login padrão, poderá ficar muito pior do que ser infectado por esse malware. Lição do episódio thisLinux.MulDrop.14: nunca use a senha de login padrão.

Confira também a versão original desse post em inglês
Esse post foi originalmente publicado no site itsfoss.com. Tradução sujeita a revisão.

This Linux Malware Targets Unsecure Raspberry Pi Devices

Propaganda
Blog Comments powered by Disqus.
Propaganda