Hackers estão usando o utilitário Linux PRoot de código aberto em ataques BYOF (acrônimo de bring your own filesystem, ou traga seu próprio sistema de arquivos) para fornecer um repositório consistente de ferramentas maliciosas que funcionam em muitas distribuições Linux.
Um ataque BYOF ocorre quando operadores de ameaças criam um sistema de arquivos malicioso em seus próprios dispositivos que contém um conjunto padrão de ferramentas usadas para realizar ataques. Esse sistema de arquivos é então baixado e “montado” em máquinas comprometidas, fornecendo um kit de ferramentas pré-configurado que pode ser usado para comprometer ainda mais um sistema Linux.
“Primeiro, os operadores de ameaças constroem um sistema de arquivos malicioso para ser implantado. Esse sistema inclui tudo o que a operação precisa para ter sucesso”, explica um novo relatório da Sysdig. “Fazer essa preparação no estágio inicial permite que todas as ferramentas sejam baixadas, configuradas ou instaladas no próprio sistema do invasor, longe dos olhares indiscretos das ferramentas de detecção”, completa o documento.
A Sysdig diz que os ataques normalmente têm como objetivo a mineração de criptomoedas, embora falcatruas mais prejudiciais sejam possíveis. Os pesquisadores da empresa também alertam sobre como essa nova técnica pode facilitar o dimensionamento de operações maliciosas contra terminais Linux de todos os tipos.
O PRoot é um utilitário de código aberto que combina os comandos ‘chroot’, ‘mount -bind’ e ‘binfmt_misc’, permitindo aos usuários configurar um sistema de arquivos raiz isolado no Linux. Os ataques registrados pela Sysdig usam o PRoot para implantar um sistema de arquivos malicioso em sistemas já comprometidos que incluem ferramentas de varredura de rede como “masscan” e “nmap”, o criptominerador XMRig e seus arquivos de configuração.
Conta Exclusiva ChatGPT: Acesso Ilimitado
Desbloqueie o poder do ChatGPT com recursos premium. Aproveite 80,5% de desconto e garantia de 100% de satisfação. Junte-se hoje e viva a melhor experiência de chat com IA!
Cypress, do Zero à Nuvem: domine a automação de testes com confiabilidade e eficiência
Aprimore suas habilidades de automação de testes com Cypress, desde o início até a integração contínua.
Saiba Mais💻 Torne-se um Desenvolvedor Fullstack!
Domine as tecnologias mais requisitadas do mercado e conquiste sua carreira dos sonhos como Desenvolvedor Fullstack. Inscreva-se hoje!
Inscreva-seO sistema de arquivos contém tudo o que é necessário para o ataque, compactado em um arquivo tar com o Gzip, com todas as dependências necessárias, baixado diretamente de serviços confiáveis de hospedagem em nuvem, como o DropBox. Como o PRoot é compilado estaticamente e não requer nenhuma dependência, os operadores de ameaças simplesmente baixam o binário pré-compilado do GitLab e o executam no sistema de arquivos baixado e extraído do invasor para “montá-lo”.
Como a Sysdig destaca no relatório, os operadores de ameaças podem facilmente usar o PRoot para baixar outras cargas úteis, além do XMRig, potencialmente causando danos mais graves ao sistema violado. Além disso, os ataques apoiados pelo PRoot tornam a configuração do ambiente irrelevante para os hackers, permitindo-lhes escalar rapidamente suas operações maliciosas. Com agências de notícias e sites internacionais.
LEIA TAMBÉM:
Gostou deste conteúdo?
Assine o E-Zine Ramos da Informática e receba semanalmente conteúdos exclusivos focados em desenvolvimento frontend, backend e bancos de dados para turbinar sua carreira tech.
📘 Conteúdo Exclusivo
Dicas, insights e guias práticos para alavancar suas habilidades em desenvolvimento e bancos de dados.
🚀 Hacks de Carreira
Ferramentas, atalhos e estratégias para se destacar e crescer rapidamente no mercado de tecnologia.
🌟 Tendências Tech
As novidades mais relevantes sobre desenvolvimento web, mobile e bancos de dados para você se manter atualizado.
Já somos mais de 5.000 assinantes! Junte-se a uma comunidade de profissionais que compartilham conhecimento e crescem juntos no universo tech.
