Anche i virus, come i software benevoli, tendono ad evolversi, adattandosi ai trend del momento: attualmente, per esempio, gli hacker tendono spesso ad utilizzare i computer delle vittime per produrre criptomonete a costo zero (per loro, ovviamente), quando non trovano dati personali da rubare, grazie ad una strutturazione modulare (es. LOrdix) delle loro “creature” che, ultimamente, non sembrano risparmiare neppure i terminali basati su Linux (es. Linux.BtcMine.174).
La prima minaccia informatica emersa riguarda un malware recentemente messo in vendita nel forum del Deep Web (accessibile solo via browser TOR): LOrdix, questo il nome del codice malevolo, sarebbe pericoloso non solo per i meccanismi di occultamento vantati (si isola in una sandbox), ma anche per l’ampia varietà di moduli, che gli consentono di fare un’estesa gamma di danni, dalla sottrazione di dati personali, alla schiavizzazione del computer, a scopo criptomining.
Nello specifico, LOrdix, penetrato su un computer, prima lo scansiona dal punto di vista delle specifiche hardware e software e, in base a tali rilevanze, richiede una particolare configurazione al server remoto di controllo, poi si diffonde negli accessori collegati via USB e, in essi, lascia delle copie eseguibili di se stesso, al posto dei file sottratti, in modo da propagarsi viralmente. Infine, iscrive il computer a una botnet di macchine zombizzate il cui compito sarà di minare cripto-valute ad altrui beneficio.
Dai russi di Dr. Web, invece, è giunta la segnalazione relativa al virus Linux.BtcMine.174 che va a compromettere l’assunto secondo il quale i computer con Linux siano immuni alle infezioni informatiche. Le 1000 e oltre righe di codice di questo virus, infatti, colpiscono proprio il Pinguino, andando a collocarsi in una cartella con permessi di scrittura, prima di aggiornarsi via server remoto.
A quel punto, grazie ad alcune vulnerabilità, assunti i diritti amministrativi e chiusi i processi attivi per lui deleteri (es. antivirus), inizia a produrre cripto-monete Monero: anche in questo caso è previsto un modulo che, attenzionate le connessioni attive (via autorun), lo propaga (vis SSH) ovunque possibile ma, in più, tra le sue componenti accessorie, non mancano neppure un trojan (denominato sarcasticamente Bill.Gates) ed un rootkit che, grazie ad una backdoor, comunicano agli hacker ogni qualcosa si digiti in locale.