Malware TeamTNT actualizado para usar una herramienta de código abierto para evadir la detección

TeamTNT, un malware de criptojacking que apunta a las API de Docker expuestas, ha adquirido una nueva capacidad para ocultar sus procesos maliciosos. Según lo detectado por los investigadores de AT&T Alien Labs, el malware de botnet TeamTNT está utilizando una herramienta de código abierto para ocultar su proceso malicioso en máquinas Linux y limpiar sus pistas.

El malware TeamTNT se oculta mediante una herramienta de código abierto

Malware TeamTNT actualizado para usar una herramienta de código abierto para evadir la detección

Visto por primera vez por MalwareHunterEquipo, el malware de la botnet TeamTNT fue secuestrar las API de Docker expuestas a Internet para agregarlos a su red y usar sus recursos para extraer la criptomoneda Monero. Este malware pronto se desarrolló para obtener la capacidad de robar las credenciales de Docker y AWS.

Ahora es informado por investigadores de AT&T Alien Labs que, los autores de TeamTNT desarrollaron el malware para utilizar una herramienta de código abierto llamada «libprocesshider«(disponible en GitHub) para ocultar sus procesos maliciosos de la detección. Esta herramienta se trajo junto con el binario TeamTNT, como un script bash codificado en base64. Una vez ejecutado, tiene el poder de;

  • Modifique la configuración de DNS de la red.
  • Defina la persistencia a través del sistema.
  • Libera y activa la nueva herramienta como servicio.
  • Descargue la última configuración del bot de IRC y
  • Evidencia clara de actividades para complicar las acciones del defensor potencial.

El malware, llamado Negro-T, también puede borrar todo el historial de sus actividades maliciosas del sistema. Con respecto a este, Ofer Caspi, un investigador del equipo dijo: «Aunque la nueva funcionalidad de libprocesshider es evitar la detección y otras funciones básicas, actúa como un indicador a tener en cuenta al buscar actividad maliciosa a nivel de host.. «

Muestra cómo los autores de TeamTNT están dedicados a fortalecer este malware, ya que obtuvo recursos para robar credenciales y evadir la detección en solo un período de menos de nueve meses. Para lograr su objetivo, consume los recursos de la máquina host para extraer la criptomoneda Monero para sus fabricantes.