Нестандартный майнер для скрытой добычи криптовалюты на устройствах с Linux описали эксперты компании Trend Micro. Поведение вредоноса KORKERDS отличается от других популярных майнеров.
Эксперты пока не нашли основных путей распространения угрозы. Скорее всего, майнер заражает компьютеры после установки определенного ПО или через скомпрометированный плагин, а затем добывает Monero.
Исследователи присвоили майнеру идентификатор Coinminer.Linux.KORKERDS.AB. В схеме также используется руткит (Rootkit.Linux.KORKERDS.AA), который «прячет» процесс майнинга от инструментов для мониторинга.
После установки майнера загрузка ресурсов компьютера вырастает до 100%. Из-за руткита, который использует хуки для API readdir и readdir64, а также библиотеки libc, обнаружить и прервать работу майнера довольно сложно.
Эксперты считают, что майнер угрожает не только серверам, но и компьютерам обычных пользователей. Вероятно, версия под другие ОС также уже существует.