Análisis de malware

Malware para Linux: novedades en el panorama de amenazas

septiembre 12, por Admin

Introducción

En los últimos años, las empresas de seguridad han observado un número cada vez mayor de malware diseñado específicamente para atacar sistemas basados ​​en Linux.

Linux, como cualquier otro sistema operativo, podría verse infectado por códigos maliciosos diseñados para comprometer los hosts y controlarlos.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Las arquitecturas Linux están en todas partes; Es bastante fácil para los delincuentes encontrar servidores Linux vulnerables expuestos en Internet o dispositivos de Internet de las cosas mal diseñados que no están configurados o protegidos adecuadamente.

La elección de desarrollar un troyano para Linux representa una evolución natural del panorama de amenazas; El sistema operativo Linux es la plataforma preferida en los centros de datos, la infraestructura en la nube para empresas y los servidores de aplicaciones. Linux es también el núcleo de los dispositivos Android y de muchos otros sistemas integrados. También hay otro aspecto a considerar, muchos entornos empresariales utilizan principalmente sistemas Windows, esto significa que son más eficientes en la detección de amenazas de Windows debido a la adopción de soluciones de defensa específicas.

Los VXers están estudiando con gran interés los dispositivos de Internet de las cosas: miles de millones de objetos inteligentes podrían ser objeto de abuso por parte de ciberdelincuentes para una gran cantidad de actividades ilegales, como lanzar ataques DDoS o difundir malware.

Veamos cuáles son las amenazas para Linux más interesantes que han aparecido en los últimos meses.

Malware de Linux en estado salvaje

Desde finales del año pasado podemos comprobar que están apareciendo numerosas amenazas en Internet dirigidas a los usuarios de Linux.

En la siguiente tabla se enumeran algunas de estas amenazas detectadas por expertos en la naturaleza.

Fecha Descripción de la amenazaSeptiembre de Botnet Linux XOR DDoS

Los investigadores de MalwareMustDie descubrieron Linux XOR DDoS Botnet, una infraestructura maliciosa utilizada para ejecutar potentes ataques DDoS contra docenas de objetivos. Akamai informó de un gran tráfico DDoS procedente de esta botnet.

Noviembre de Linux.Encoder.1 Los investigadores de la empresa antivirus rusa Doctor Web descubrieron un ransomware para Linux que infectó a decenas de usuarios.Enero de Linux.Ekoms.1 Dr. Web descubrió un malware denominado Linux.Ekoms.1 diseñado para atacar sistemas Linux y toma capturas de pantalla cada 30 segundos.Febrero de Linux Fysbis Trojan Los investigadores de malware de PaloAlto descubrieron el troyano Fysbis, una amenaza para Linux sencilla y eficaz utilizada por el grupo ruso de ciberespionaje Pawn Storm.Marzo de Malware Remaiten Expertos de la firma ESET han detectado el malware Remaiten en estado salvaje que apuntaba a sistemas integrados para reclutarlos en una botnet.Agosto de Troyano Linux.Lady

La empresa rusa de antivirus Doctor Web descubrió un nuevo troyano para Linux denominado Linux.Lady, que los delincuentes utilizan para extraer criptomonedas.

Agosto de Troyano Linux.Rex.1

Los investigadores de seguridad descubrieron un nuevo troyano de Linux denominado Linux.Rex.1 que es capaz de autopropagarse y crear una botnet de igual a igual.

Agosto de Linux.PNScan

Se descubrió una nueva variante del troyano Linux.PNScan que comprometía los enrutadores e instalaba puertas traseras.

Septiembre de Linux.BackDoor.Irc.16

Los expertos de Dr. Web descubrieron un nuevo troyano para Linux llamado Linux.BackDoor.Irc.16 escrito en el lenguaje de programación Rust

septiembre de

Rootkit Linux Umbreon

Los investigadores de seguridad de TrendMicro han publicado un interesante análisis sobre el rootkit Linux Umbreon, un nuevo malware desarrollado por un VXer fanático de Pokémon.

septiembre de

Linux/Mirai ELF

Los expertos de MalwareMustDie detectaron una nueva puerta trasera troyana ELF, denominada ELF Linux/Mirai, que ahora apunta a dispositivos IoT

septiembre de

Luabot

El investigador MalwareMustDie descubrió LuaBot, un troyano completamente codificado en lenguaje Lua que apunta a plataformas Linux para reclutarlas en una botnet DDoS.

Según el investigador de seguridad MalwareMustDie, el número de malware ELF que aparece en Internet está creciendo rápidamente.

“Hay muchos nuevos malware ELF que están llegando y acechando en nuestra red recientemente y afectando gravemente a la capa de IoT y los servicios de Linux”. explicó el investigador.

– Red de bots DDoS XOR de Linux

La botnet Linux XOR DDoS fue detectada por primera vez por los investigadores de seguridad de MalwareMustDie. La botnet se utilizó para lanzar potentes DDoS contra sitios web de juegos y educación, por esta razón la empresa Akamai Technologies investigó el problema con el apoyo de MalwareMustDie.

“El equipo de respuesta de inteligencia de seguridad ( SIRT ) de Akamai está rastreando XOR DDoS; un malware troyano que los atacantes están utilizando para secuestrar máquinas Linux e incluirlas en una botnet para campañas distribuidas de denegación de servicio (DDoS). Hasta la fecha, el ancho de banda de los ataques DDoS provenientes del La botnet XOR DDoS ha oscilado entre unos pocos gigabits por segundo (Gbps) y más de 150 Gbps. El sector de los juegos es el objetivo principal, seguido de las instituciones educativas”. lee el aviso de amenazas publicado por la empresa.

1: Ataques de botnet XOR DDoS (Akamai)

Xor.DDoS es un malware polimórfico y multiplataforma diseñado específicamente para atacar el sistema operativo Linux ; su objetivo final es lanzar ataques DDoS contra otros sistemas.

“El nombre Xor.DDoS surge del uso intensivo del cifrado XOR tanto en el malware como en la comunicación de red con los CC (servidores de comando y control)”, continúa el análisis publicado por Akamai.

Los atacantes detrás de la botnet enmascararon las direcciones IP de las máquinas involucradas en el ataque DDoS, por ejemplo utilizando direcciones IP falsificadas, para dificultar a las víctimas la defensa de su infraestructura del ataque.

Los ataques XOR DDoS se basaban en máquinas Linux que los ciberdelincuentes comprometieron descifrando contraseñas débiles utilizadas para proteger el shell de comandos.

Una vez obtenido el acceso al shell en la máquina Linux, los atacantes utilizan privilegios de root para iniciar un script utilizado para descargar y ejecutar un archivo binario malicioso.

Las botnets de Linux ya se descubrieron en el pasado; otros ejemplos de malware basado en Linux son el kit de herramientas Spike DDoS y el malware IptabLes e IptabLex que en se dirigió a servidores Linux en todo el mundo para ejecutar ataques DDoS a gran escala.

“Hay un número cada vez mayor de vulnerabilidades de Linux a las que pueden atacar los actores maliciosos, como la vulnerabilidad de desbordamiento del búfer basada en el montón encontrada a principios de este año en la biblioteca GNU C. Sin embargo, XOR DDoS en sí no explota una vulnerabilidad específica”. explicó el aviso publicado por Akamai.

– El ransomware Linux.Encoder.1

El ransomware de cifrado de archivos Linux.Encoder.1 fue descubierto en estado salvaje por investigadores de la empresa antivirus rusa Doctor Web mientras atacaba sistemas Linux. Los expertos estimaron que decenas de usuarios ya estaban infectados en el momento del descubrimiento.

“Doctor Web advierte a los usuarios sobre un nuevo ransomware de cifrado dirigido a los sistemas operativos Linux. A juzgar por los directorios en los que el troyano cifra los archivos, se puede concluir que el principal objetivo de los ciberdelincuentes son los administradores de sitios web en cuyos equipos están instalados servidores web. Doctor Web Security Los investigadores suponen que al menos decenas de usuarios ya han sido víctimas de este troyano.” afirma la entrada del blog publicada por Doctor Web.

El ransomware de Linux está escrito en C y aprovecha la biblioteca PolarSSL; se lanza como un demonio que cifra datos y elimina los archivos originales del sistema.

2: Nota de pago de ransomware de Linux

El ransomware de Linux requiere privilegios de administrador para funcionar; una vez que un sistema está infectado, el malware descarga los archivos que contienen las demandas de los atacantes y un archivo que contiene la ruta a una clave RSA pública. Linux.Encoder.1 se inicia como un demonio y elimina los archivos originales. Posteriormente, la clave RSA se utiliza para almacenar claves AES utilizadas para cifrar archivos.

“Primero, Linux.Encoder.1 cifra todos los archivos en los directorios de inicio y en los directorios relacionados con la administración del sitio web. Luego, el troyano recorre recursivamente todo el sistema de archivos comenzando por el directorio desde el que se inicia; la próxima vez, comenzando por el directorio raíz (” /”). Además, el troyano cifra sólo archivos con extensiones específicas y sólo si el nombre de un directorio comienza con una de las cadenas indicadas por los ciberdelincuentes”, continúa la publicación.

“Para cifrar cada archivo, el troyano genera una clave AES. Después de cifrar los archivos usando AES-CBC-128, se les añade la extensión .encrypted. En cada directorio que contiene archivos cifrados, el troyano coloca un archivo README_FOR_DECRYPT.txt con una demanda de rescate”, explicó el Dr. Web.

Para recuperar los archivos cifrados, se pide a las víctimas que paguen un Bitcoin (aproximadamente $ 380 al tipo de cambio actual) y, cuando se paga el rescate, los archivos se descifran utilizando una clave RSA privada que recupera la clave AES de los archivos cifrados.

– Linux.Ekoms.1

Los investigadores de malware de la empresa antivirus Dr. Web descubrieron el troyano Linux denominado Linux.Ekoms.1 , que fue desarrollado para espiar las máquinas infectadas. El troyano de Linux toma capturas de pantalla cada 30 segundos y las guarda en una carpeta temporal en formato JPEG o BMP usando la extensión ‘sst’.

Los investigadores también descubrieron que los autores del malware probablemente estén implementando una función de grabación de audio que les permite grabar el audio circundante y guardarlo en formato WAV en un archivo con la extensión ‘.aat’ en la misma carpeta temporal. El análisis del código reveló que los autores ya implementaron la característica, pero no estaba activa en la cepa de malware analizada por los expertos.

“Además de la capacidad de tomar capturas de pantalla, el troyano tiene la clase especial AbAudioCapture para grabar sonido y guardarlo con el nombre aa-%d-%s.aat en formato WAV. Sin embargo, en realidad, esta característica no se utiliza en cualquier lugar.” lee el análisis publicado por Doctor Web.

Linux.Ekoms.1 escanea el sistema infectado en busca de archivos para cargar, en formato cifrado, en un servidor remoto cuya dirección está codificada en el troyano.

Linux.Ekoms.1 busca periódicamente en su carpeta temporal archivos con ciertos nombres y extensiones utilizados para archivar las capturas de pantalla (.sst) y las grabaciones de audio (.aat) . Los investigadores también notaron que el malware busca otras extensiones, una circunstancia que sugiere que los autores también pueden apuntar a otros tipos de contenido (archivos .ddt y .kkt).

“Genera una lista de filtrado para los archivos “aa*.aat”, “dd*ddt”, “kk*kkt”, “ss*sst” que se buscan en la ubicación temporal y carga los archivos que coinciden con estos criterios en el servidor. Si la respuesta es la línea de desinstalación, Linux.Ekoms.1 descarga el archivo ejecutable /tmp/ccXXXXXX.exe del servidor, lo guarda en la carpeta temporal y lo ejecuta”. continúa el post.

Es probable que Linux.Ekoms.1 sea un proyecto en curso; en el momento del análisis, ya estaba implementando una serie de características, incluyendo habilitar/deshabilitar servicios específicos, pero aún quedaban algunas instrucciones por recibir.

– El troyano Linux Fysbis, una nueva arma en el arsenal de Pawn Storm

El Linux Fysbis de uno de los programas maliciosos utilizados por el grupo estatal Pawn Storm (también conocido como APT28 , Sofacy o Sednit ) que ha estado activo desde al menos.

Pawn Storm llevó a cabo varias operaciones de ciberespionaje económico y político dirigidas a una amplia gama de entidades, la mayoría de ellas pertenecientes a las industrias militar, gubernamental y de medios.

El grupo aprovechó varias cepas de malware para sus operaciones; Puede apuntar a casi todos los sistemas operativos. A principios de, Pawn Storm apareció nuevamente en la naturaleza atacando sistemas Linux con un troyano denominado Fysbis. La nueva amenaza puede comprometer objetivos sin requerir acceso altamente privilegiado; según los investigadores de malware de PaloAlto Networks, el malware es una herramienta preferida para comprometer sistemas Linux, aunque no es una amenaza sofisticada.

“El malware para Linux Fysbis es una herramienta preferida de Sofacy y, aunque no es particularmente sofisticado, la seguridad de Linux en general todavía es un área en desarrollo, especialmente en lo que respecta al malware. En resumen, es totalmente plausible que esta herramienta haya contribuido al éxito de los ataques asociados de este grupo”, se lee en una publicación de blog de PaloAlto.

El troyano Fysbis fue diseñado con una estructura modular; Los componentes principales son un conjunto de complementos que podrían cargarse para agregar nuevas funcionalidades al malware.

“Fysbis es un troyano/puerta trasera modular de Linux que implementa módulos de complemento y controlador como clases distintas. Como referencia, algunos proveedores clasifican este malware bajo la designación de nombre del grupo de atacantes Sednit. Este malware incluye versiones de 32 y 64 bits de Binarios ejecutables y de formato de enlace (ELF) . Además, Fysbis puede instalarse en un sistema víctima con o sin privilegios de root”, continúa el análisis publicado por PaloAlto Networks.

La amenaza fue diseñada para extraer documentos potencialmente confidenciales de las máquinas infectadas y espiar la navegación web y otras actividades del usuario.

Los investigadores de la Unidad 42 de PaloAlto Networks han observado que los grupos APT tienden a reutilizar la infraestructura de comando y control histórico. El análisis de las muestras del troyano Fysbis reveló que el actor de la amenaza también utilizaba servidores CC previamente desconocidos.

: Linux remaita malware y Thingbot

Los investigadores de la empresa de seguridad ESET estaban monitoreando activamente los códigos maliciosos dirigidos a dispositivos IoT cuando descubrieron una nueva amenaza denominada KTN-RM o Remaiten. El malware fue diseñado para atacar sistemas Linux, específicamente dispositivos de Internet de las cosas , combinando las capacidades del malware de Linux conocido como Tsunami y Gafgyt.

Tsunami es una puerta trasera de descarga/IRC Bot utilizada en el ecosistema criminal para lanzar ataques DDoS, mientras que Linux/Gafgyt sirve como una puerta trasera que podría controlarse de forma remota y usarse como escaneo Telnet.

“Recientemente, descubrimos un bot que combina las capacidades de Tsunami (también conocido como Kaiten) y Gafgyt . También proporciona algunas mejoras y un par de características nuevas. A esta nueva amenaza la llamamos Linux/Remaiten . Hasta ahora, hemos He visto tres versiones de Linux/Remaiten que se identifican como versiones 2.0, 2.1 y 2.2. Según los artefactos encontrados en el código, los autores llaman a este nuevo malware ‘KTN-Remastered’ o ‘KTN-RM'”, afirma la publicación oficial del blog . publicado por la empresa.

El malware KTN-RM (también conocido como Remaiten) implementa un mecanismo de propagación mejorado y eficaz al llevar archivos binarios ejecutables de descarga para plataformas integradas y otros dispositivos conectados.

El malware Linux Remaiten escanea Internet en busca de dispositivos IoT que acepten conexiones Telnet; luego intenta conectarlos mediante el uso de fuerza bruta con un ataque de diccionario. Si el malware inicia sesión correctamente en el dispositivo, establece un comando de shell para descargar otros archivos binarios maliciosos en el sistema infectado.

Los descargadores de Linux Remaiten son pequeños ejecutables ELF integrados en el propio binario del bot que se ejecutan en los dispositivos de destino para indicarle cómo conectarse al servidor CC del bot. Los binarios del bot incluyen una lista codificada de direcciones IP del servidor CC; se observó enviando al servidor de control información sobre el dispositivo infectado (es decir, dirección IP, credenciales de inicio de sesión, estado de infección).

“Cuando se le indica que realice un escaneo de telnet, intenta conectarse a direcciones IP aleatorias accesibles desde Internet en el puerto 23. Si la conexión tiene éxito, intentará adivinar las credenciales de inicio de sesión de una lista incrustada de combinaciones de nombre de usuario/contraseña. Si tiene éxito inicia sesión, emite un comando de shell para descargar ejecutables de bot para múltiples arquitecturas e intenta ejecutarlos. Esta es una forma simple, aunque ruidosa, de infectar a nuevas víctimas, ya que es probable que uno de los binarios se ejecute en la arquitectura en ejecución”, afirma el cargo.

El investigador también reveló una curiosidad sobre el malware, el servidor CC utilizado para la versión 2.0 muestra un mensaje de bienvenida que hace referencia al blog MalwareMustDie , considerémoslo una especie de venganza del autor hacia el popular equipo de investigadores.

3: mensaje de bienvenida de CC

– Linux.Lady, un troyano de Linux basado en Go que extrae criptomonedas

Los investigadores de malware de Doctor Web descubrieron un nuevo troyano para Linux en estado salvaje: un malware basado en Go llamado Linux.Lady.1, diseñado para minar criptomonedas.

“Los analistas de Doctor Web han detectado y examinado un nuevo troyano para Linux que puede ejecutar en un ordenador infectado un programa de minería de criptomonedas. Su principal característica es que está escrito en el lenguaje Go, desarrollado por Google”, se indica en un informe de la editorial Médico Web.

El troyano Linux.Lady Linux se ha desarrollado en el lenguaje de programación Go de Google y utiliza varias bibliotecas disponibles en GitHub.Go fue introducido por Google en, el uso del lenguaje de programación Go para desarrollar un código malicioso no es una novedad, se usó por primera vez con la intención de crear malware en, aunque no es tan popular en la comunidad VXers.

Cuando Linux.Lady infecta un sistema, recopila información sobre el host, incluida la versión del sistema operativo Linux, la cantidad de CPU y procesos que se ejecutan en la máquina.

Una vez recopilada información sobre el host infectado, el malware la envió de regreso a un servidor de comando y control (CC), que a su vez proporciona un archivo de configuración para descargar una aplicación de minería de criptomonedas.

El modelo Linux.Lady analizado por Doctor Web extraía la criptomoneda Monero. Monero, la actividad minera es un negocio rentable para los ciberdelincuentes que explota los recursos computacionales de las víctimas para ganar dinero.

4 – Linux.Lady

Una de las características más interesantes implementadas por Linux.Lady le permite propagarse a otras computadoras Linux en la red infectada.

“El troyano recibe un archivo de configuración que contiene información necesaria para su funcionamiento. Luego descarga y ejecuta un programa de minería de criptomonedas. El malware determina una dirección IP externa del ordenador infectado utilizando sitios web especiales especificados en el archivo de configuración”.afirma el informe sobre la amenaza. “Luego, el troyano calcula la máscara de la subred External_ip8 (la máscara es 255.0.0.0) e intenta conectarse a los hosts remotos a través del puerto 6379 (redis) sin ingresar una contraseña. Si se establece la conexión, Linux.Lady.1 abre el La URL especificada en el archivo de configuración, descarga un script detectado como Linux.DownLoader.196 y lo agrega al programador cron de la computadora infectada:”

: el troyano Linux.Rex.1 crea una botnet P2P

Los investigadores de seguridad de Dr. Web descubrieron un nuevo troyano para Linux, denominado Linux.Rex.1, que es capaz de propagarse automáticamente a través de sitios web infectados que forman una botnet peer-to-peer.

La amenaza fue diseñada para infectar servidores web que utilizan ciertos sistemas de gestión de contenido (CMS). El troyano Linux.Rex.1 fue escrito en el lenguaje de programación Go y puede realizar una amplia gama de actividades maliciosas, incluido el envío de mensajes de spam, lanzar ataques DDoS y, por supuesto, propagarse a través de las redes.

El malware fue detectado por primera vez por los usuarios del modo Kernel que notaron varios ataques contra sitios web basados ​​en el popular CMS Drupal, por esta razón lo llamaron Drupal ransomware.

El malware puede piratear sitios web creados con Drupal explotando un conocido fallo de inyección SQL en el popular sistema de gestión de contenidos.

Recientemente, los investigadores de Dr. Web descubrieron que Linux.Rex.1 podía infectar muchos otros CMS.

“Este programa de malware ataca servidores web que utilizan varios CMS, realiza ataques DDoS, envía mensajes de spam y se distribuye a través de las redes”. afirma el análisis publicado por el Dr. Web.

La botnet compuesta por máquinas infectadas por Linux.Rex.1 es una botnet P2P; cada nodo de la infraestructura maliciosa puede intercambiar datos con sus pares mediante el uso de un protocolo implementado por los autores del malware.

” Linux.Rex.1 es un troyano que puede crear este tipo de botnets P2P implementando un protocolo responsable de compartir datos con otros ordenadores infectados. Una vez que se inicia el troyano, un ordenador infectado comienza a funcionar como uno de los nodos de esta red.” continúa el análisis. “El programa de malware recibe directivas a través del protocolo HTTPS y las envía a otros nodos de botnet, si es necesario. Cuando lo ordenan los ciberdelincuentes, Linux.Rex.1 inicia o detiene un ataque DDoS en una dirección IP específica”.

El malware utiliza el protocolo HTTPS para enviar/recibir comandos; Los expertos notaron un componente especial utilizado por la amenaza para buscar sitios web que utilizan varios CMS, incluidos Drupal, WordPress, Magento, JetSpeed ​​y otros.

“También busca hardware de red que ejecute AirOS y explota vulnerabilidades conocidas para obtener listas de usuarios, claves SSH privadas y credenciales de inicio de sesión almacenadas en servidores remotos. Sin embargo, esta información no siempre se puede obtener con éxito”, se lee en el análisis.

Además, el malware Linux.Rex.1 está diseñado para enviar mensajes de correo electrónico no deseado a los propietarios de sitios web, amenazándolos con ataques DDoS en sus servidores. Curiosamente, si el correo electrónico llega al destinatario equivocado, los delincuentes le piden que redirija el mensaje al propietario del sitio web.

Los delincuentes solicitan el pago de un rescate en Bitcoin para evitar ser atacados.

– Troyano Linux.PNScan

Los expertos de Malware Must Die descubrieron el troyano Linux.PNScan, un malware que se detectó por primera vez el año pasado , cuando se utilizaba para infectar dispositivos basados ​​en arquitecturas ARM, MIPS o PowerPC.

Ahora el malware de Linux fue descubierto en la naturaleza apuntando activamente a enrutadores basados ​​en Linux x86 en un intento de instalar puertas traseras en ellos.

“Como se muestra en el título, es una conocida amenaza de malware ELF, podría ser una última variante de “Linux/PnScan”, encontrada en la plataforma x86-32 y que parece correr por la web dentro de nodos infectados antes de llegar a nuestras manos. Este gusano apunta más a la plataforma de inserción, y estoy un poco sorprendido al descubrir que el binario i86 está afectando algunas cajas de Linux”. afirma el análisis publicado por Malware Must Die!

“Esta amenaza llegó antes a la tarea del equipo MalwareMustDie ELF y publiqué un análisis el lunes 28 de septiembre de en kernelmode [ enlace ] junto con sus detalles y la amenaza. Pensé que la amenaza se está volviendo inactiva ahora y parece que estoy equivocado. , ya que el malware todavía funciona en la infección ahora como un gusano y está codificado para apuntar al segmento 183.83.0.0/16 (ubicado en el área de red de la región de Telangana y Cachemira de la India), donde acaba de ser detectado. Ya que nunca escribo sobre esta amenaza En este blog (excepto kernelmode), será bueno crear conciencia sobre un gusano vivo y activo”.

La nueva cepa de Linux.PNScan.2, a diferencia de la variante original Linux.PNScan.1 que intentaba iniciar sesión por fuerza bruta en el enrutador usando un diccionario especial, apunta a direcciones IP específicas e intenta establecer una conexión SSH usando las siguientes credenciales de inicio de sesión:

• raíz; raíz;
• administrador;administrador;
• ubnt;ubnt.

5 – Análisis de Linux.PNScan 2

El nuevo Linux.PNScan.2 se compiló con compatibilidad de GCC(GNU) 4.1.x a través de la herramienta de compilación Toolchains con opción de compilación cruzada para i686 usando la configuración habilitada para SSL.

Cuando la amenaza infecta un dispositivo, bifurcará su proceso cuatro veces, creando ciertos archivos en el sistema infectado, demonizando y escuchando 2 puertos TCP, apuntando a IP codificadas y enviando solicitudes HTTP/1.1 a través de SSL a twitter.com en el puerto 443. para ocultar su tráfico malicioso.

Al igual que su predecesora, esta variante también puede forzar los inicios de sesión en un intento de obtener acceso a los dispositivos de destino.

Los investigadores de malware que analizaron la amenaza sugieren que podría ser de origen ruso.

“Supongo que esto sucedió desde hace 6 meses hasta ahora, y el hacker está sentado en la red rusa para acceder a cualquier nodo infectado accesible”. continúa el análisis publicado por MalwareMustDie.

Los expertos de Malware Must Die! También publicó una lista de síntomas de infección, los enrutadores tienen procesos específicos ejecutándose en la etapa inicial de la infección, el ataque lanzado se puede ver en la conectividad de la red, cada objetivo conectado se registra en el archivo “list2” y la lista bruta se rastrea en archivo “iniciar sesión2”.

– Linux.BackDoor.Irc.16, el primer troyano de Linux escrito en lenguaje Rust

Los expertos de Doctor Web descubrieron una nueva cepa de malware para Linux, la llamaron Linux.BackDoor.Irc.16. El troyano Linux Linux.BackDoor.Irc.16 está escrito en el lenguaje de programación Rust e implementa las características de una puerta trasera clásica que permite a los atacantes controlar de forma remota el sistema infectado enviándolo a través del protocolo IRC (Internet Relay Chat).

Rust es un lenguaje de programación compilado, multiparadigma y de propósito general promovido por Mozilla Research. Está diseñado para ser un “lenguaje práctico, concurrente y seguro”.

“Rust es un lenguaje de programación de sistemas que se ejecuta increíblemente rápido, evita fallos de segmento y garantiza la seguridad de los subprocesos”.

“A diferencia de la mayoría de sus homólogos, Linux.BackDoor.Irc.16 está escrito en Rust, un lenguaje de programación cuya creación fue patrocinada por Mozilla Research”, informó el Dr. Web en una entrada de blog .

Una vez que se ejecuta el troyano de Linux, se conecta a un canal de chat público específico que en su configuración y luego espera comandos.

Según los investigadores de malware de DrWeb, el troyano de Linux puede ejecutar sólo cuatro comandos:

Conéctese a un canal de chat específico;

Reúna información sobre el huésped infectado y envíela de vuelta a los delincuentes;

• Enviar a los delincuentes datos sobre las aplicaciones que se ejecutan en el sistema;
• Eliminarse de una máquina infectada;

Los expertos detectaron una primera versión estable en. Según Dr. Web, la puerta trasera Linux.BackDoor.Irc.16 fue diseñada para ser un malware multiplataforma. Los expertos que analizaron la amenaza especulan que se trata de un prototipo de un proyecto en curso; de hecho, han observado que el troyano de Linux no es capaz de replicarlo y que el canal IRC utilizado como infraestructura de CC ya no está activo.

“Los analistas de Doctor Web creen que Linux.BackDoor.Irc.16 es en realidad un prototipo (prueba de concepto), porque no puede replicarse y el canal IRC utilizado por el troyano para recibir comandos de los ciberdelincuentes no está activo actualmente. ” informó el Dr. Web.

Recientemente, expertos en seguridad detectaron otro malware de Linux, como Linux.Rex.1 , que es capaz de autopropagarse y crear una botnet de igual a igual y Linux. Señora que es utilizada por delincuentes para extraer criptomonedas.

: rootkit Linux Umbreon, un nuevo malware desarrollado por un VXer fanático de Pokémon.

Los expertos en malware de TrendMicro han obtenido muestras de una nueva cepa de rootkit de Linux de uno de sus socios de confianza.

La nueva familia de rootkits se llamó Umbreon (familia ELF_UMBREON), por el nombre de uno de los personajes de Pokémon. Está dirigido a sistemas Linux, incluidos dispositivos integrados y cualquier otro sistema que ejecute procesadores Intel y ARM.

Umbreon Rootkit fue desarrollado a principios de por un autor de malware que ha estado activo en el mundo cibercriminal desde al menos. Se presentó en los foros criminales clandestinos como un malware muy eficaz para evadir la detección.

“Los rootkits son amenazas persistentes destinadas a ser difíciles de detectar/observar. Su objetivo principal es mantenerse (y otras amenazas de malware) sigilosas y totalmente ocultas de los administradores, analistas, usuarios, herramientas de escaneo, forenses y del sistema”. Dice el investigador senior de amenazas de Trend Micro, Fernando Mercês . “También pueden abrir una puerta trasera y/o utilizar un servidor CC y proporcionar al atacante formas de controlar y espiar la máquina afectada”.

Umbreon is classified as a ring 3 rootkit (or usermode rootkit)because it works on User mode (ring 3), this meansit does not install kernel objects ontothe system, but hooks functions from core libraries that are used by various applications as anintermediary level to system calls.

“[Umbreon] hooks functions from core libraries that are used by programs as interfaces to system calls that run important operations in a system such asreading/writing files, spawning processes, or sending packets over the network. It is perfectly possible to spy on and change the way things are done within an operating system, even fromuser mode.”

Once compromised a computer, therootkitcreates a valid Linux user that could be used by attackersto access it via any authen