Investigadores de seguridad detallaron el descubrimiento de un nuevo, muestra de malware no detectada previamente diseñada específicamente para atacar el entorno Linux. El malware muestra capacidades sofisticadas y es "un marco intrincado desarrollado para apuntar a sistemas Linux".,”, dijeron los investigadores de Intezer en su análisis técnico..
Resumen técnico del malware Lightning Framework Linux
“Lightning es un marco modular que descubrimos que tiene una gran cantidad de capacidades, y la capacidad de instalar múltiples tipos de rootkit, así como la capacidad de ejecutar complementos,” explicó el informe. Afortunadamente, hasta ahora no ha habido indicios de que el malware se esté utilizando en la naturaleza.
¿Qué han descubierto los investigadores sobre la estructura de Lightning Framework??
Lightning.Downloader
El marco consta de un descargador y un módulo central., con varios complementos, algunos de los cuales son de código abierto. La función principal de Lightning.Downloader es recuperar los otros componentes y ejecutar el módulo principal.
Cabe señalar que el marco se basa en gran medida en typosquatting (también conocido como secuestro de URL) y disfrazarse para permanecer sin ser detectados en sistemas Linux comprometidos. El descargador está configurado para tomar huellas dactilares del nombre del host y los adaptadores de red para generar un GUID (identificador único global), que será enviado al servidor de comando y control.
La comunicación con el servidor de comando y control se realiza para obtener los siguientes complementos y módulos:
- Linux.Plugin.Lightning.SsHijacker
- Linux.Complemento.Lightning.Sshd
- Linux.Complemento.Lightning.Nethogs
- Linux.Complemento.Lightning.iftop
- Linux.Complemento.Lightning.iptraf
- Rayo.Núcleo
Rayo.Núcleo
El módulo central, que es el módulo principal del marco, puede recibir comandos del servidor de mando y control para ejecutar los módulos de complemento enumerados anteriormente. No es sorprendente, el módulo tiene múltiples capacidades y utiliza numerosas técnicas para ocultar artefactos y seguir funcionando sin ser detectado.
Otros detalles
La comunicación de red en los módulos Core y Downloader se realiza a través de sockets TCP. Los datos están estructurados en JSON, y el servidor de comando y control se almacena en un archivo de configuración codificado polimórfico único para cada creación. “Esto significa que los archivos de configuración no podrán ser detectados a través de técnicas como hash. La clave está integrada al inicio del archivo codificado.," los investigadores adicional.
Otro ejemplo de un nuevo malware de Linux es el malware simbionte. Descubierto por investigadores de Blackberry, el malware está diseñado para infectar todos los procesos en ejecución en las máquinas infectadas, y es capaz de robar credenciales de cuenta y proporcionar acceso de puerta trasera a sus operadores.
La primera detección ocurrió en noviembre. 2021, cuando se descubrió en ataques contra organizaciones financieras en América Latina. El malware es capaz de ocultarse después de la infección., por lo que es muy difícil de detectar.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: