El ecosistema de Linux está en peligro por un nuevo tipo de puerta trasera con capacidades de rootkit.. El nuevo malware también es capaz de robar información del sistema., como credenciales de usuario y detalles del dispositivo, y ejecutando comandos arbitrarios.
Pez cara: Nueva puerta trasera y rootkit de Linux
El malware fue descubierto por Qihoo 360 Investigadores de seguridad de NETLAB que nombraron a su cuentagotas Facefish.
Según su informe, Facefish contiene dos partes, Gotero y rootkit. “Su función principal está determinada por el módulo Rootkit, que trabaja en el Ring 3 capa y se carga utilizando la función LD_PRELOAD para robar las credenciales de inicio de sesión del usuario conectando funciones relacionadas con el programa ssh / sshd, y también admite algunas funciones de puerta trasera. Por lo tanto, Facefish se puede caracterizar como una puerta trasera para la plataforma Linux,”Según el informe.
Cuáles son las principales funcionalidades de Facefish?
La puerta trasera puede cargar información del dispositivo, robar credenciales de usuario, rebotar Shell, y ejecutar comandos arbitrarios.
¿Cómo se propaga el pez cara en la naturaleza?? El malware utiliza una vulnerabilidad específica para su distribución exitosa., pero aún no se ha revelado. Cabe señalar que el análisis de NETLAB se ha basado en un informe de abril de Juniper Networks. El informe reveló detalles sobre una cadena de ataque dirigida al Panel web de control. (CWP) para inyectar un implante SSH con funcionalidades de exfiltración de datos.
En términos de los mecanismos de infección de Facefish, el malware pasa por varias etapas iniciadas por una inyección de comando contra CWP para recuperar un cuentagotas de un servidor remoto. El siguiente paso es habilitar el rootkit que recopila y transmite información confidencial al servidor., mientras espera más instrucciones por parte de la infraestructura de comando y control.
El gotero
El gotero está equipado con sus propias tareas., incluida la capacidad de detectar el entorno de ejecución, descifrar archivos de configuración para recibir información de comando y control, configurar el rootkit, e inícielo inyectándolo en el proceso del servidor sshd.
El rootkit
Los componentes de rootkit son alarmantemente peligrosos, ya que pueden ayudar a los atacantes a obtener privilegios elevados e interferir con las operaciones centrales del sistema. Poco dicho, rootkits como Facefish pueden profundizar en el sistema operativo, dar sigilo a los actores de amenazas y la capacidad de eludir los mecanismos de detección.
Los investigadores de NETLAB también señalan que Facefish es compatible específicamente con el sistema operativo FreeBSD.. La divulgación técnica completa de la puerta trasera y el rootkit de Facefish están disponibles en el análisis original.
Otros ejemplos de ataques basados en rootkit incluyen el cryptojacking Operación Nansh0u y el Minero y rootkit KORKERDS.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: