Criptominerador Linux de longa data é flagrado usando sites legítimos para espalhar malware

Uma investigação recente da VulnCheck expôs uma campanha de criptomineração que vinha ocorrendo despercebida há anos. O agente da ameaça por trás dessa operação, utilizando o minerador Linuxsys, tem como alvo sistemas vulneráveis desde pelo menos 2021, mantendo uma estratégia consistente que depende fortemente de sites legítimos comprometidos para distribuir malware.

O que torna essa campanha mais difícil de detectar é o uso de sites reais como canais de distribuição de malware pelo invasor. Em vez de hospedar payloads em domínios suspeitos, eles comprometem sites de terceiros com certificados SSL válidos e implantam seus links de download nesses locais. Isso não apenas os ajuda a contornar muitos filtros de segurança, como também mantém sua infraestrutura principal (como o site de download repositorylinux.org ) distante dos arquivos de malware reais.

Entre 1º e 16 de julho deste ano, analistas da VulnCheck detectaram repetidas tentativas de exploração do endereço IP 103.193.177.152 contra uma instância canary do Apache 2.4.49. Essas tentativas estavam vinculadas à vulnerabilidade CVE-2021-41773 . Embora essa vulnerabilidade em particular não seja nova e continue sendo um alvo popular, a entidade que a explorou se destacou.

Os invasores usaram um script simples chamado linux.sh , que extrai o arquivo de configuração e o binário Linuxsys de uma lista de cinco sites comprometidos. Entre eles, domínios como prepstarcenter.com , wisecode.it e dodoma.shop , todos sites aparentemente comuns.

De acordo com a publicação do blog VulnCheck compartilhada com o Hackread.com antes da publicação na quarta-feira, a lista não era aleatória. Isso dava ao invasor opções de backup caso um site fosse derrubado ou parasse de funcionar, permitindo que o malware continuasse a ser distribuído sem interrupção.

O arquivo de configuração do minerador recuperado desses sites aponta para hashvault.pro como o pool de mineração e identifica a carteira associada à operação. Essa carteira vem recebendo pequenos pagamentos desde janeiro de 2025, com média de cerca de 0,024 XMR por dia, cerca de US$ 8.

Embora US$ 8 pareça insignificante, a operação não visa necessariamente alta receita. A consistência e a duração sugerem outros objetivos, ou possivelmente mais atividade de mineração em outros lugares que ainda não foi observada.

Rastreando o Linuxsys no passado, ele apareceu pela primeira vez em 2021 em umapublicação no blog de Hal Pomeranz, um especialista altamente respeitado em análise forense digital de Linux e Unix, analisando a exploração do mesmo CVE. Desde então, ele foi associado a diversas vulnerabilidades por meio de relatórios de diversas empresas de segurança cibernética. Entre eles, CVEs recentes como 2023-22527 , 2023-34960 e 2024-36401 .

Todas essas vulnerabilidades de segurança foram exploradas por meio de uma exploração de vulnerabilidade de n dias , armazenamento de conteúdo em infraestrutura web comprometida e operações de mineração persistentes. Uma vulnerabilidade de n dias é um bug de segurança já conhecido e geralmente com correção disponível. O nome significa apenas que a falha é pública há um determinado número de dias, sendo "n" o número de dias desde que o problema foi tornado público ou corrigido pela primeira vez.

Há também evidências de que a operação não se limita ao Linux. Dois executáveis do Windows, nssm.exe e winsys.exe , foram encontrados nos mesmos hosts comprometidos. Embora o VulnCheck não os tenha observado em ação, sua presença sugere um escopo mais amplo do que apenas sistemas Linux.

O que manteve esta campanha tão discreta é provavelmente uma combinação de direcionamento cuidadoso e evitação deliberada de honeypots . A VulnCheck observa que o invasor parece favorecer ambientes de alta interação, o que significa que servidores de isca típicos muitas vezes ignoram completamente essa atividade. Essa abordagem cautelosa provavelmente ajudou a campanha a evitar atrair muita atenção, apesar de estar ativa há anos.

A VulnCheck lançou regras para Suricata e Snort que detectam tentativas de exploração para todos os CVEs associados conhecidos. Os indicadores de comprometimento incluem IPs, URLs e hashes de arquivos relacionados ao ataque. A empresa também forneceu regras de detecção que as equipes de segurança podem usar para identificar consultas DNS e tráfego HTTP associados ao downloader e aos scripts de payload inicial.