Uma nova campanha de malware, visando servidores Redis para acesso inicial com o objetivo final de minerar criptomoedas em hosts Linux comprometidos, foi observada. O ataque de cryptojacking é facilitado por um malware apelidado de Migo, um binário ELF em Golang equipado com ofuscação em tempo de compilação e a capacidade de persistir em máquinas Linux.

A campanha é seguida pelos atores de ameaças configurando duas chaves Redis, uma apontando para uma chave SSH controlada pelo atacante e a outra para um trabalho cron que recupera o payload principal malicioso de um serviço de transferência de arquivos chamado Transfer.sh, uma técnica observada anteriormente no início de 2023.

O binário ELF baseado em Go, além de incorporar mecanismos para resistir à engenharia reversa, atua como um downloader para um instalador do XMRig hospedado no GitHub. Ele também é responsável por realizar uma série de etapas para estabelecer persistência, terminar mineradores concorrentes e lançar o minerador.

Além disso, o Migo desativa o Security-Enhanced Linux (SELinux) e procura por scripts de desinstalação de agentes de monitoramento empacotados em instâncias de computação de provedores de nuvem como Qcloud e Alibaba Cloud. Ele ainda implanta uma versão modificada (“libsystemd.so”) de um rootkit popular em modo usuário chamado libprocesshider para ocultar processos e artefatos em disco.