(https://i.postimg.cc/Vs0Sjv0g/Linux-1.png) (https://postimg.cc/9zVF2Wpw)
Investigadores de ciberseguridad han detectado una puerta trasera de Linux, previamente no documentada, denominada Plague, que ha logrado evadir la detección durante un año.
"El implante está diseñado como un PAM (Módulo de Autenticación Conectable) malicioso, que permite a los atacantes eludir silenciosamente la autenticación del sistema y obtener acceso SSH persistente", declaró Pierre-Henri Pezier, investigador de Nextron Systems.
Los Módulos de Autenticación Conectables se refieren a un conjunto de bibliotecas compartidas que se utilizan para gestionar la autenticación de usuarios en aplicaciones y servicios en sistemas Linux y UNIX.
Dado que los módulos PAM se cargan en procesos de autenticación privilegiados, un PAM malicioso puede permitir el robo de credenciales de usuario, eludir las comprobaciones de autenticación y pasar desapercibido para las herramientas de seguridad.
La empresa de ciberseguridad afirmó haber descubierto múltiples artefactos de Plague subidos a VirusTotal desde el 29 de julio de 2024, ninguno de los cuales fue detectado como malicioso por los motores antimalware. Además, la presencia de varias muestras indica un desarrollo activo del malware por parte de los actores de amenazas desconocidos responsables.
Plague cuenta con cuatro características destacadas: credenciales estáticas para permitir acceso encubierto, resistir el análisis y la ingeniería inversa mediante antidepuración y ofuscación de cadenas; y sigilo mejorado al borrar la evidencia de una sesión SSH.
Esto, a su vez, se logra desconfigurando variables de entorno como SSH_CONNECTION y SSH_CLIENT mediante unsetenv y redirigiendo HISTFILE a /dev/null para evitar el registro de comandos de shell y, de lo contrario, evitar dejar un registro de auditoría.
"Plague se integra a fondo en la pila de autenticación, sobrevive a las actualizaciones del sistema y prácticamente no deja rastros forenses", señaló Pezier. "Combinado con la ofuscación en capas y la manipulación del entorno, esto hace que sea excepcionalmente difícil de detectar con herramientas tradicionales".
Fuente:
The Hacker News
https://thehackernews.com/2025/08/new-plague-pam-backdoor-exposes.html