
ZDNet advierte que los usuarios de Linux deben estar atentos a «una nueva botnet peer-to-peer (P2P) que se propaga entre redes utilizando claves SSH robadas y ejecuta su malware de criptominería en la memoria de un dispositivo».
La botnet Panchan P2P fue descubierta por investigadores de Akamai en marzo y la compañía ahora advierte que podría estar aprovechando la colaboración entre instituciones académicas para propagarse al hacer que las claves de autenticación SSH robadas previamente se compartan a través de las redes.
Pero en lugar de robar la propiedad intelectual de estas instituciones educativas, la red de bots Panchan está utilizando sus servidores Linux para extraer criptomonedas, según Akamai… «En lugar de usar fuerza bruta o ataques de diccionario en direcciones IP aleatorias como hacen la mayoría de las redes de bots, el malware también lee los archivos id_rsa yknown_hosts para recolectar las credenciales existentes y usarlas para moverse lateralmente a través de la red…». Akamai encontró 209 pares, pero solo 40 de ellos están actualmente activos y en su mayoría estaban ubicados en Asia.
¿Y por qué el sector educativo se ve más afectado por Panchan? Akamai supone que esto podría deberse a una higiene deficiente de las contraseñas o a que el malware se mueve por la red con claves SSH robadas.
Akamai escribe que el malware «capta las señales de terminación de Linux (específicamente SIGTERM — 0xF y SIGINT — 0x2) que se le envían y las ignora.
«Esto hace que sea más difícil acabar con el malware, pero no imposible, ya que SIGKILL no se maneja (porque no es posible, según el estándar POSIX, página 313)».