Pesquisadores de segurança detalharam a descoberta de um novo, amostra de malware não detectada anteriormente projetada especificamente para atingir o ambiente Linux. O malware apresenta recursos sofisticados e é “uma estrutura complexa desenvolvida para direcionar sistemas Linux,” Os pesquisadores da Intezer disseram em sua análise técnica.
Visão geral técnica de malware do Lightning Framework Linux
“Lightning é uma estrutura modular que descobrimos que tem uma infinidade de recursos, e a capacidade de instalar vários tipos de rootkit, bem como a capacidade de executar plugins,” explicou o relatório. Felizmente, até agora não houve nenhuma indicação de que o malware está sendo usado em estado selvagem.
O que os pesquisadores descobriram sobre a estrutura do Lightning Framework?
Lightning.Downloader
A estrutura consiste em um downloader e um módulo principal, com vários plugins, alguns dos quais de código aberto. A principal função do Lightning.Downloader é recuperar os outros componentes e executar o módulo principal.
Vale ressaltar que o framework depende muito de typosquatting (também conhecido como sequestro de URL) e mascarado para permanecer indetectável em sistemas Linux comprometidos. O downloader está configurado para imprimir o nome do host e os adaptadores de rede para gerar um GUID (identificador global exclusivo), que será enviado ao servidor de comando e controle.
A comunicação com o servidor de comando e controle é feita para buscar os seguintes plugins e módulos:
- Linux.Plugin.Lightning.SsHijacker
- Linux.Plugin.Lightning.Sshd
- Linux.Plugin.Lightning.Nethogs
- Linux.Plugin.Lightning.iftop
- Linux.Plugin.Lightning.iptraf
- Lightning.Core
Lightning.Core
O módulo principal, que é o módulo principal do framework, pode receber comandos do servidor de comando e controle para executar os módulos de plugin listados acima. não é de surpreender, o módulo tem vários recursos e utiliza várias técnicas para ocultar artefatos e permanecer em execução sem ser detectado.
Outros detalhes
A comunicação de rede nos módulos Core e Downloader ocorre em soquetes TCP. Os dados são estruturados em JSON, e o servidor de comando e controle é armazenado em um arquivo de configuração codificado polimórfico exclusivo para cada criação. “Isso significa que os arquivos de configuração não poderão ser detectados por meio de técnicas como hashes. A chave é incorporada no início do arquivo codificado," Os pesquisadores adicionado.
Outro exemplo de um novo malware Linux é o malware Symbiote. Descoberto por pesquisadores do Blackberry, o malware é projetado para infectar todos os processos em execução em máquinas infectadas, e é capaz de roubar credenciais de conta e fornecer acesso backdoor a seus operadores.
A primeira detecção aconteceu em novembro 2021, quando foi descoberto em ataques contra organizações financeiras na América Latina. O malware é capaz de se esconder após a infecção, tornando muito difícil de detectar.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: