Investigadores de seguridad cibernética revelaron una nueva amenaza de Linux completamente no detectada denominada OrBit, que señala una tendencia creciente de ataques de malware dirigidos al popular sistema operativo.
El malware recibe su nombre debido a uno de los nombres de archivo que se utiliza para almacenar de forma temporal la salida de los comandos ejecutados («/tmp/.orbit»), según la compañía de seguridad cibernética Intezer.
OrBit es el cuarto malware de Linux que salio a la luz en un breve lapso de tres meses después de BPFDoor, Symbiote y Syslogk.
El malware también funciona de forma similar a Symbiote en el sentido de que está diseñado para infectar todos los procesos en ejecución de las máquinas comprometidas. Pero a diferencia de este último, que aprovecha la variable de entorno LD_PRELOAD para cargar el objeto compartido, OrBit emplea dos métodos distintos.
La cadena de ataque comienza con un archivo cuentagotas ELF que es responsable de extraer la carga («libdl.so») y agregarla a las bibliotecas compartidas que está cargando el enlazador dinámico.
La biblioteca compartida no autorizada está diseñada para enlazar funciones de tres bibliotecas: libc, libcap y Módulo de Autenticación Conectable (PAM), lo que hace que los procesos existentes y nuevos utilicen las funciones modificadas, lo que esencialmente le permite recopilar credenciales, ocultar la actividad de la red y configurar acceso remoto al host por medio de SSH, mientras permanece oculto.
Además, OrBit se basa en una gran cantidad de métodos que le permiten funcionar sin alertar de su presencia y establecer la persistencia de una forma que dificulta su eliminación de las máquinas infectadas.
Una vez activado, el objetivo final de la puerta trasera es robar información conectando las funciones de lectura y escritura para capturar los datos que escriben los procesos ejecutados en la máquina, incluidos los comandos bash y sh, cuyos resultados se almacenan en archivos específicos.