Faz alguns dias Pesquisadores de segurança descobriram uma nova variedade de malware Linux Parece ter sido criado por hackers chineses e usado como meio de controlar remotamente os sistemas infectados.
Chamado HiddenWasp, Este malware consiste em um rootkit de modo de usuário, um Trojan e um script de implantação inicial.
Ao contrário de outros programas maliciosos executados no Linux, o código e as evidências coletadas mostram que os computadores infectados já foram comprometidos por esses mesmos hackers.
A execução de HiddenWasp seria, portanto, um estágio avançado na cadeia de destruição dessa ameaça.
Embora o artigo diga que não sabemos quantos computadores foram infectados ou como as etapas acima foram realizadas, deve-se observar que a maioria dos programas do tipo "backdoor" são instalados clicando em um objeto. (link, imagem ou arquivo executável), sem que o usuário perceba que se trata de uma ameaça.
A engenharia social, que é uma forma de ataque usada por cavalos de Tróia para induzir as vítimas a instalar pacotes de software como o HiddenWasp em seus computadores ou dispositivos móveis, pode ser a técnica adotada por esses invasores para atingir seus objetivos.
Em sua estratégia de escape e dissuasão, o kit usa um script bash acompanhado por um arquivo binário. De acordo com pesquisadores do Intezer, os arquivos baixados do Total Virus têm um caminho que contém o nome de uma sociedade forense com sede na China.
Sobre o HiddenWasp
Malware O HiddenWasp é formado por três componentes perigosos, como Rootkit, Trojan e um script malicioso.
Os sistemas a seguir estão funcionando como parte da ameaça.
- Manipulação do sistema de arquivos local: O mecanismo pode ser usado para fazer upload de todos os tipos de arquivos para os hosts da vítima ou sequestrar qualquer informação do usuário, incluindo informações pessoais e do sistema. Isso é particularmente preocupante, pois pode ser usado para levar a crimes como roubo financeiro e roubo de identidade.
- Execução do comando: o mecanismo principal pode iniciar automaticamente todos os tipos de comandos, incluindo aqueles com permissões de root, se tal bypass de segurança estiver incluído.
- Entrega de carga adicional: infecções criadas podem ser usadas para instalar e lançar outro malware, incluindo ransomware e servidores de criptomoeda.
- Operações de Trojan: O malware HiddenWasp Linux pode ser usado para assumir o controle dos computadores afetados.
Além disso, o malware seria hospedado nos servidores de uma empresa de hospedagem de servidores físicos chamada Think Dream, localizada em Hong Kong.
"O malware Linux ainda desconhecido em outras plataformas pode criar novos desafios para a comunidade de segurança", escreveu o pesquisador do Intezer Ignacio Sanmillan em seu artigo
“O fato de que este programa malicioso consegue permanecer sob o radar deve ser um sinal de alerta para a indústria de segurança para dedicar mais esforços ou recursos para detectar essas ameaças”, disse ele.
Outros especialistas também comentaram sobre o assunto, Tom Hegel, pesquisador de segurança da AT&T Alien Labs:
“Existem muitas incógnitas, pois as peças deste kit de ferramentas têm algumas sobreposições de código / reutilização com várias ferramentas de código aberto. No entanto, com base em um grande padrão de sobreposição e design de infraestrutura, além de seu uso em destinos, avaliamos com segurança a associação com Winnti Umbrella.
Tim Erlin, Vice-presidente, Gestão de Produto e Estratégia da Tripwire:
“HiddenWasp não é o único em sua tecnologia, além de direcionar o Linux. Se você estiver monitorando seus sistemas Linux quanto a alterações críticas de arquivos, ou para que novos arquivos apareçam, ou para outras alterações suspeitas, o malware é provavelmente identificado como HiddenWasp ”
Como posso saber se meu sistema está comprometido?
Para verificar se o sistema está infectado, eles podem procurar os arquivos "ld.so". Se algum dos arquivos não contiver a string '/etc/ld.so.preload', seu sistema pode estar comprometido.
Isso ocorre porque o implante de Trojan tentará corrigir as instâncias do ld.so para aplicar o mecanismo LD_PRELOAD em locais arbitrários.
fonte: https://www.intezer.com/