Pesquisadores de ciberseguranca identificaram uma nova e sofisticada ameaça voltada para sistemas Linux. Trata-se do Voidlink, um malware avançado capaz de transformar servidores comprometidos em botnets multifuncionais, usadas para mineração ilícita de criptomoedas e ataques distribuídos de negação de serviço (DDoS). O Voidlink é projetado com uma arquitetura modular que permite aos operadores alternar entre diferentes finalidades maliciosas, de acordo com os objetivos da campanha.
Ao ser instalado em um servidor, o malware inicia conexões com servidores de comando e controle, dos quais recebe instruções para iniciar mineração de moedas como Monero ou participar de ciberataques coordenados. A infecção ocorre por meio da exploração de vulnerabilidades conhecidas em serviços acessíveis via internet, como interfaces web mal configuradas ou portas de administração remota abertas.
Uma vez dentro do sistema, o malware garante persistência, oculta sua atividade e começa a utilizar os recursos computacionais do servidor de forma discreta. Entre as funcionalidades do Voidlink está a capacidade de ajustar o consumo de CPU e memória para evitar alertas de segurança. Isso permite que a mineração de criptomoedas aconteça de forma contínua sem chamar a atenção de administradores ou ferramentas de monitoramento.
Já o módulo de DDoS transforma os servidores infectados em armas contra alvos externos. Os atacantes podem disparar grandes volumes de tráfego contra sites ou serviços, derrubando suas operações com o uso combinado da botnet distribuída. Embora ainda não tenha sido atribuída a um grupo específico, a campanha de disseminação do Voidlink está em expansão. Os alvos incluem servidores Linux em ambientes de nuvem, dispositivos IoT e sistemas corporativos com práticas de segurança insuficientes.
