Un malware para Linux recientemente descubierto se utiliza para robar sigilosamente la información de los sistemas Linux protegidos e infecta todos los procesos que se ejecutan en la máquina. Apodado OrBit por los investigadores de seguridad de Intezer Labs que lo detectaron por primera vez, este malware secuestra las bibliotecas compartidas para interceptar las llamadas a funciones modificando la variable de entorno LD_PRELOAD en los dispositivos comprometidos. |
Mientras que puede ganar persistencia utilizando dos métodos diferentes para bloquear los intentos de eliminación, OrBit también puede ser desplegado como un implante volátil cuando se copia en la memoria shim.
También puede enganchar varias funciones para evadir la detección, controlar el comportamiento de los procesos, mantener la persistencia infectando nuevos procesos y ocultar la actividad de la red que revelaría su presencia.
Por ejemplo, una vez que se inyecta en un proceso en ejecución, OrBit puede manipular su salida para ocultar cualquier rastro de su existencia filtrando lo que se registra.
"El malware implementa técnicas avanzadas de evasión y gana persistencia en la máquina enganchando funciones clave, proporciona a los atacantes capacidades de acceso remoto a través de SSH, cosecha credenciales y registra comandos TTY", explicó la investigadora de seguridad de Intezer Labs Nicole Fishbein.
"Una vez instalado el malware, infectará todos los procesos en ejecución, incluidos los nuevos, que se estén ejecutando en la máquina".
Aunque los componentes del dropper y la carga útil de OrBit no fueron detectados en absoluto por los motores antivirus cuando se detectó por primera vez el malware, algunos proveedores de antimalware han actualizado desde entonces sus productos para advertir a los clientes de su presencia.
¿Aumento del malware para Linux?
OrBit no es el primer malware para Linux altamente evasivo que ha aparecido recientemente, capaz de utilizar enfoques similares para comprometer completamente y abrir puertas traseras en los dispositivos.
Symbiote también utiliza la directiva LD_PRELOAD para cargarse en los procesos en ejecución, actuando como un parásito en todo el sistema y sin dejar señales de infección.
BPFDoor, otro malware recientemente detectado que se dirige a los sistemas Linux, se camufla utilizando los nombres de los demonios comunes de Linux, lo que le ayudó a no ser detectado durante más de cinco años.
Ambas cepas utilizan la funcionalidad de enganche BPF (Berkeley Packet Filter) para supervisar y manipular el tráfico de red, lo que ayuda a ocultar sus canales de comunicación de las herramientas de seguridad.
Un tercer malware para Linux, un rootkit en pleno desarrollo denominado Syslogk y desvelado por los investigadores de Avast el mes pasado, puede forzar la carga de sus propios módulos en el kernel de Linux, abrir puertas traseras en las máquinas comprometidas y ocultar directorios y tráfico de red para evadir la detección.
Aunque no es la primera ni la más original cepa de malware dirigida a Linux en los últimos tiempos, OrBit tiene su cuota de capacidades que lo diferencian de otras amenazas.
Fuente: https://www.bleepingcomputer.com/news/linux/new-stealthy-orbit-malware-steals-data-from-linux-devices/