Territorio Móvil

La nueva puerta trasera ultra-sigilosa de Linux no es su descubrimiento diario de malware

Los investigadores han hecho un descubrimiento que no ocurre con demasiada frecuencia en el espacio del malware: una puerta trasera de Linux nunca antes vista y sofisticada que utiliza técnicas de evasión novedosas para disfrazar su presencia en servidores infectados, en algunos casos incluso involucrando un examen forense. El jueves, los investigadores de Intezer y el equipo de investigación e inteligencia de amenazas de BlackBerry dijeron que la puerta trasera no detectada anteriormente combina un alto nivel de acceso con la capacidad de eliminar todos los signos de infección del sistema de archivos, los procesos del sistema y el tráfico de la red. Llamado Symbiote, apunta a instituciones financieras en Brasil y fue visto por primera vez en noviembre. Los investigadores de Intezer y BlackBerry escribieron:

Lo que diferencia a Symbiote de otros programas maliciosos de Linux con los que nos encontramos habitualmente es que necesita infectar otros procesos en ejecución para dañar los equipos infectados. En lugar de ser un ejecutable independiente que se ejecuta para infectar una computadora, es una biblioteca de objetos compartidos (SO) que usa LD_PRELOAD (T1574.006) para cargar en todos los procesos en ejecución y parasitar de forma parasitaria la computadora infectada. Una vez que ha infectado todos los procesos en ejecución, ofrece al atacante la funcionalidad de rootkit, la capacidad de recolectar credenciales y capacidades de acceso remoto.

Con la ayuda de LD_PRELOAD, Symbiote se carga antes que todos los demás objetos compartidos. Esto permite que el malware manipule otros archivos de biblioteca cargados para una aplicación. La siguiente imagen muestra un resumen de todas las técnicas de evasión del malware.

El BPF que se muestra en la imagen se refiere al filtro de paquetes de Berkeley, que permite a los usuarios ocultar el tráfico de red malicioso en una computadora infectada. «Cuando un administrador inicia una herramienta de captura de paquetes en la computadora infectada, el código de bytes BPF se inyecta en el kernel que define qué paquetes capturar», escriben los investigadores. «En este proceso, Symbiote primero agrega su código de bytes para que pueda filtrar el tráfico de red que no desea que vea el software de captura de paquetes». Pero el malware también utiliza el enganche en su función de herramienta de robo de datos. «La recopilación de credenciales se realiza conectando la función de lectura de libc», escribieron los investigadores. “Cuando un proceso ssh o scp llama a la función, recopila las credenciales.” Hasta el momento, no hay evidencia de infecciones en la naturaleza, solo muestras de malware encontradas en línea. Es poco probable que este malware esté muy extendido en este momento, pero con un disfraz tan sólido, ¿cómo podemos estar seguros?

MÁS SOBRE ACTUALIDAD
GM anuncia el nuevo Chevrolet Bolt basado en Ultium en el informe del segundo trimestre
El bórax es la nueva marea y los expertos en control de envenenamiento lo están mirando a la cara.
SpaceX anuncia otra aplicación para Starship
La nueva función de personalización de ChatGPT podría ahorrar mucho tiempo a los usuarios
¿Listo para su escaneo ocular? Comienza Worldcoin, pero no del todo en todo el mundo
Entendiendo al pulpo y sus relaciones con los humanos

Deja una respuesta

Tu dirección de correo electrónico no será publicada.