Nuevo malware indetectable para Linux: OrBit

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se está utilizando un malware de Linux recientemente descubierto para robar sigilosamente información de sistemas Linux con puerta trasera e infectar todos los procesos en ejecución en la máquina.

Apodado OrBit por los investigadores de seguridad de Intezer Labs que lo detectaron por primera vez, este malware secuestra bibliotecas compartidas para interceptar llamadas a funciones modificando la variable de entorno LD_PRELOAD en dispositivos comprometidos.

Si bien puede ganar persistencia usando dos métodos diferentes para bloquear los intentos de eliminación, OrBit también se puede implementar como un implante volátil cuando se copia en la memoria de corrección.

También puede conectar varias funciones para evadir la detección, controlar el comportamiento del proceso, mantener la persistencia infectando nuevos procesos y ocultar la actividad de la red que revelaría su presencia.

Por ejemplo, una vez que se inyecta en un proceso en ejecución, OrBit puede manipular su salida para ocultar cualquier rastro de su existencia al filtrar lo que se registra.

"El malware implementa técnicas avanzadas de evasión y gana persistencia en la máquina al conectar funciones clave, brinda a los actores de amenazas capacidades de acceso remoto a través de SSH, recopila credenciales y registra comandos TTY", explicó Nicole Fishbein, investigadora de seguridad de Intezer Labs.

"Una vez que se instala el malware, infectará todos los procesos en ejecución, incluidos los nuevos procesos, que se ejecutan en la máquina".

Aunque los componentes de cuentagotas y carga útil de OrBit no fueron detectados por los motores antivirus cuando se detectó el malware por primera vez, algunos proveedores de antimalware han actualizado sus productos para advertir a los clientes de su presencia.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¿Oleada de malware para Linux?

OrBit no es el primer malware de Linux altamente evasivo que ha surgido recientemente, capaz de usar enfoques similares para comprometer completamente los dispositivos de puerta trasera.

Symbiote también usa la directiva LD_PRELOAD para cargarse en procesos en ejecución, actuando como un parásito en todo el sistema y sin dejar signos de infección.

BPFDoor, otro malware detectado recientemente que se dirige a los sistemas Linux, se camufla usando los nombres de los demonios comunes de Linux, lo que lo ayudó a pasar desapercibido durante más de cinco años.

Ambas cepas utilizan la funcionalidad de enlace BPF (Berkeley Packet Filter) para monitorear y manipular el tráfico de la red, lo que ayuda a ocultar sus canales de comunicación de las herramientas de seguridad.

Un tercer malware de Linux, un rootkit en fuerte desarrollo denominado Syslogk y presentado por los investigadores de Avast el mes pasado, puede forzar la carga de sus propios módulos en el kernel de Linux, máquinas comprometidas de puerta trasera y ocultar directorios y tráfico de red para evadir la detección.

Aunque últimamente no es la primera variedad de malware ni la más original dirigida a Linux, OrBit todavía viene con su parte de capacidades que lo distinguen de otras amenazas.

"Este malware roba información de diferentes comandos y utilidades y los almacena en archivos específicos en la máquina. Además, hay un uso extensivo de archivos para almacenar datos, algo que no se había visto antes", agregó Fishbein.

"Lo que hace que este malware sea especialmente interesante es el enlace casi hermético de las bibliotecas en la máquina de la víctima, lo que permite que el malware gane persistencia y evada la detección mientras roba información y configura la puerta trasera SSH".

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta