Fa alguns dies investigadors de seguretat han van descobrir una nova varietat de malware de Linux que sembla haver estat creat per pirates informàtics xinesos i s'ha utilitzat com un mitjà per controlar de forma remota els sistemes infectats.
Anomenat HiddenWasp, aquest malware es compon d'un rootkit en mode d'usuari, un troià i un script d'implementació inicial.
A diferència d'altres programes maliciosos que s'executen en Linux, el codi i l'evidència recopilada mostren que els ordinadors infectades ja han estat compromeses per aquests mateixos hackers.
L'execució de HiddenWasp seria, per tant, una fase avançada en la cadena de destrucció d'aquesta amenaça.
Encara que l'article diu que no sabem quantes computadores es van infectar o com es van realitzar els passos anteriors, s'ha de tenir en compte que la majoria dels programes de l'tipus de "Backdoor" s'instal·len a l'a seleccionar un objecte. (Enllaç, imatge o arxiu executable), sense que l'usuari s'adoni que és una amenaça.
L'enginyeria social, que és una forma d'atac utilitzada pels troians per enganyar les víctimes perquè instal·len paquets de programari com HiddenWasp en els seus ordinadors o dispositius mòbils, podria ser la tècnica adoptada per aquests atacants per assolir els seus objectius.
En la seva estratègia d'escapament i dissuasió, el kit utilitza un script bash acompanyat d'un arxiu binari. Segons els investigadors de Intezer, els arxius descarregats de Total Virus tenen una ruta que conté el nom d'una societat forense amb seu a la Xina.
sobre HiddenWasp
el malware HiddenWasp està compost per tres components perillosos, com Rootkit, Trojan i un script maliciós.
Els següents sistemes estan treballant com a part de l'amenaça.
- Manipulació local de sistema d'arxius: el motor es pot usar per carregar tot tipus d'arxius als hosts de la víctima o segrestar qualsevol informació de l'usuari, inclosa la informació personal i de el sistema. Això és particularment preocupant, ja que pot usar-se per dur a delictes com el robatori financer i el robatori d'identitat.
- Execució d'ordres: el motor principal pot engegar automàticament tot tipus d'ordres, inclosos els que tenen permisos d'arrel, si s'inclou aquesta omissió de seguretat.
- Lliurament de càrrega útil addicional: les infeccions creades es poden usar per a instal·lar i llançar un altre malware, inclòs el ransomware i els servidors de moneda digital.
- Operacions de troians: el malware HiddenWasp Linux es pot fer servir per prendre el control de les computadores afectades.
A més, el malware s'allotjaria en servidors d'una empresa d'allotjament de servidors físics anomenada Think Dream situada a Hong Kong.
«El malware de Linux encara desconegut per a altres plataformes podria crear nous desafiaments per a la comunitat de seguretat», va escriure l'investigador Intezer, Ignacio Sanmillán, en el seu article
«El fet que aquest programa maliciós aconsegueixi romandre sota el radar ha de ser un avís perquè el sector de la seguretat dediqui més esforços o recursos per detectar aquestes amenaces», va dir.
Altres experts també van comentar a l'respecte, Tom Hegel, investigador de seguretat d'AT & T Alien Labs:
"Hi ha moltes incògnites, ja que les peces d'aquest conjunt d'eines tenen alguns solapaments de codi / reutilització amb diverses eines de codi obert. No obstant això, sobre la base d'un gran patró de superposició i disseny d'infraestructura, a més del seu ús en objectius, avaluem amb gran confiança l'associació a Winnti Umbrella «.
Tim Erlin, vicepresident, gestió de productes i estratègia en Tripwire:
"HiddenWasp no és únic en la seva tecnologia, a part d'estar dirigit a Linux. Si està monitoritzant els seus sistemes Linux per detectar canvis en arxius crítics, o perquè apareguin nous arxius, o per altres canvis sospitosos, és probable que s'identifiqui el malware com HiddenWasp "
¿Com saber el meu sistema està compromès?
Per verificar si el seu sistema està infectat, poden buscar arxius «ld.so". Si algun dels arxius no conté la cadena '/etc/ld.so.preload', el seu sistema es pot veure compromès.
Això es deu al fet que l'implant de troià intentarà posar pegats instàncies de ld.so per aplicar el mecanisme LD_PRELOAD des ubicacions arbitràries.
font: https://www.intezer.com/