Un nuevo Linux (se abre en una pestaña nueva) se ha descubierto malware que es capaz de evitar la detección por parte de los programas antivirus, roba datos confidenciales de puntos finales comprometidos (se abre en una pestaña nueva) e infecta todos los procesos que se ejecutan en un dispositivo.
Los investigadores de ciberseguridad de Intezer Labs dicen que el malware (se abre en una pestaña nueva)denominado OrBit, modifica la variable de entorno LD_PRELOAD, lo que le permite secuestrar bibliotecas compartidas y, en consecuencia, interceptar llamadas a funciones.
“El malware implementa técnicas avanzadas de evasión y gana persistencia en la máquina al conectar funciones clave, brinda a los actores de amenazas capacidades de acceso remoto a través de SSH, recopila credenciales y registra comandos TTY”, explicó Nicole Fishbein, investigadora de Intezer Labs.
Ocultos a plena vista
“Una vez que se instala el malware, infectará todos los procesos en ejecución, incluidos los nuevos procesos, que se ejecutan en la máquina”.
Hasta hace poco, la mayoría de las soluciones antivirus no trataban el cuentagotas o la carga útil de OrBit como maliciosos, dijeron los investigadores, pero agregaron que ahora, algunos proveedores de servicios antimalware sí identifican a OrBit como malicioso.
“Este malware roba información de diferentes comandos y utilidades y los almacena en archivos específicos en la máquina. Además, hay un uso extensivo de archivos para almacenar datos, algo que no se había visto antes”, concluyó Fishbein.
“Lo que hace que este malware sea especialmente interesante es el enlace casi hermético de las bibliotecas en la máquina de la víctima, lo que permite que el malware gane persistencia y evada la detección mientras roba información y configura la puerta trasera SSH”.
Los actores de amenazas han estado bastante activos en la plataforma Linux últimamente, descubrió BleepingComputer. Además de OrBit, el malware Symbiote descubierto recientemente también utiliza la directiva LD_PRELOAD para cargarse en los procesos en ejecución. Actúa como un parásito en todo el sistema, afirma la publicación, y agrega que no deja signos de infección.
BPFDoor también es una cepa de malware similar. Se dirige a los sistemas Linux y se oculta utilizando los nombres de los demonios comunes de Linux. Esto lo ayudó a permanecer bajo los radares antivirus durante cinco años.
Además de estos dos, también está Syslogk, capaz de cargar y ocultar programas maliciosos. Tal como lo revelaron los investigadores de ciberseguridad de Avast, el malware rootkit se basa en un antiguo rootkit de código abierto llamado Adore-Ng. También se encuentra en una etapa relativamente temprana de desarrollo (activo), por lo que aún está por verse si se convierte o no en una amenaza en toda regla.
Vía: BleepingComputer (se abre en una pestaña nueva)