I ricercatori di Trend Micro hanno scoperto un nuovo malware che colpisce Linux e si occupa del mining delle criptovalute. In altre parole, fa leva sulla potenza di calcolo del computer della vittima per generare moneta virtuale destinata al portafogli dei suoi autori. È stato battezzato Skidmap e opera in modo piuttosto articolato.
Skidmap, il malware delle crypto su Linux
Come si può vedere nello schema riassuntivo allegato di seguito, l’infezione avviene mediante crontab, un processo standard dei sistemi Unix che si occupa di gestire le operazioni ricorrenti. In seguito viene installato del codice malevolo che come prima cosa disattiva alcune impostazioni di sicurezza, così da poter dare il via al mining senza che possa essere identificato un anomalo utilizzo delle risorse. Per far passare il più possibile inosservata la propria azione, Skidmap altera inoltre le statistiche relative all’uso della CPU e al traffico di rete.
Viene infine rimpiazzato il file di sistema pam_unix.so responsabile dell’autenticazione con una versione alterata, fornendo così agli autori dell’attacco la possibilità di accedere alla macchina come si trattasse di uno degli utenti legittimamente autorizzati.
Secondo Trend Micro, questa articolata pratica rende Skidmap parecchio difficile da estirpare, poiché il malware è realizzato in modo da installarsi nuovamente in seguito alla rimozione. Il consiglio per rimanere al sicuro è quello di mantenere i terminali sempre aggiornati. Al momento non è dato a sapere quale sia la criptovaluta generata, se Bitcoin o altro.