加密货币挖矿(Cryptomining)恶意软件使用Rootkit在受感染的Linux系统上隐藏自己

趋势科技安全研究人员发现了一种针对Linux计算机的新加密货币挖矿恶意软件，它能够使用rootkit从用户和进程监控工具中混淆自己。

于没有明显的方式，加密恶意软件设法入侵和感染Linux机器，趋势科技公司的研究人员认为，这种恶意软件的幕后黑手能够破坏一个合法的应用程序，并利用它在目标电脑上安装恶意工具。

“我们认为这种加密货币挖矿恶意软件的感染载体是一种恶意的，第三方的/非官方的或受威胁的插件（也就是病毒），”趋势科技的报告称。

“安装一个需要授予它管理员权限，并且在受到攻击的应用程序的情况下，恶意软件可以使用授予应用程序的权限运行。这不是一个不常见的载体，因为其他Linux加密货币挖矿恶意软件工具也使用它作为入点“。

趋势科技已将Monero-mining恶意软件Coinminer.Linux.KORKERDS.AB及其用于隐藏的rootkit组件命名为Rootkit.Linux.KORKERDS.AA。

Monero挖矿恶意软件使用rootkit组件隐藏，但无法掩盖增加的资源使用情况

鉴于大多数系统监控工具都会说所有正在运行的进程都表现正常，并且恶意软件产生的“kworkerds”进程正在使用，因此硬币模拟器隐藏在自己的视线中，而用户无法指出为什么Linux驱动的机器存在性能问题。被rootkit隐藏。

由于大多数系统监控工具会说所有正在运行的进程都表现正常，而用户无法指出为什么Linux驱动的机器存在性能问题，使用“kworkerds”进程，恶意软件会被rootkit隐藏，因此该计算器隐藏在自己的视线中。

这意味着，虽然用户将能够看到系统的CPU使用率正在上升，但他将无法确定究竟是什么原因产生的，这使得解决问题和检测/删除恶意软件的任务非常棘手。

“虽然rootkit无法隐藏高CPU使用率和加密货币连接器的连接，但它通过编辑几行代码并重新利用现有代码或工具来改善其隐秘性，”趋势科技表示。 “由于恶意软件能够自我更新，我们希望其运营商能够添加更多功能，以使其恶意软件更有利可图。”

趋势科技在同一天发现并公布了另一个恶意加密器（检测为Coinminer.Win32.MALXMR.TIAOODAM），它正在使用各种方法对Windows机器进行攻击。像其以Linux为重点一样尽可能地隐藏起来。