Novo malware se aproveita de duas falhas do Kernel Linux

O malware Shikitega começa com um arquivo de menos de 1 KB praticamente indetectável, e vai pouco a pouco se desenvolvendo na máquina, até obter privilégios de administrador bastante abrangentes.

A ameaça foi identificada por pesquisadores de segurança da operadora de telecomunicações AT&T. Ela usa um codificador polimórfico, responsável por “traduzir” o código em etapas.

O malware inclui o XMRig, que é um minerador da criptomoeda Monero, bastante visada por cibercriminosos.

No entanto, o programa também baixa um pacote conhecido como Mettle, que permite controlar webcams, roubar credenciais e redirecionar entradas e saídas de rede.

A ameaça se aproveita de duas falhas do kernel Linux para escalar seus privilégios e conseguir mais controle sobre a máquina.

Uma delas é a CVE-2021-4034, conhecida como PwnKit. Ela esteve no kernel por 12 anos e foi descoberta apenas em 2021. A outra, chamada CVE-2021-3494, veio à tona em abril de 2021.

Ambas foram corrigidas, mas as atualizações podem não ter sido instaladas em todos os dispositivos. Isso é ainda pior quando se trata de Internet das Coisas (IoT) — nem sempre as empresas dão o suporte adequado a produtos desse tipo.