Investigadores advierte sobre el malware OrBit para Linux que secuestra el flujo de ejecución

Investigadores de seguridad cibernética revelaron una nueva amenaza de Linux completamente no detectada denominada OrBit, que señala una tendencia creciente de ataques de malware dirigidos al popular sistema operativo.

El malware recibe su nombre debido a uno de los nombres de archivo que se utiliza para almacenar de forma temporal la salida de los comandos ejecutados («/tmp/.orbit»), según la compañía de seguridad cibernética Intezer.

«Se puede instalar con capacidades de persistencia o como un implante volátil. El malware implementa técnicas de evasión avanzadas y gana persistencia en la máquina al conectar funciones clave, brinda a los actores de amenazas capacidades de acceso remoto por medio de SSH, recopila credenciales y registra comandos TTY», dijo la investigadores de seguridad, Nicole Fishbein.

OrBit es el cuarto malware de Linux que salio a la luz en un breve lapso de tres meses después de BPFDoor, Symbiote y Syslogk.

El malware también funciona de forma similar a Symbiote en el sentido de que está diseñado para infectar todos los procesos en ejecución de las máquinas comprometidas. Pero a diferencia de este último, que aprovecha la variable de entorno LD_PRELOAD para cargar el objeto compartido, OrBit emplea dos métodos distintos.

«La primera forma es agregando el objeto compartido al archivo de configuración que usa el cargador. La segunda forma es parcheando el binario del propio cargador para que cargue el objeto compartido malicioso», dijo Fishbein.

La cadena de ataque comienza con un archivo cuentagotas ELF que es responsable de extraer la carga («libdl.so») y agregarla a las bibliotecas compartidas que está cargando el enlazador dinámico.

La biblioteca compartida no autorizada está diseñada para enlazar funciones de tres bibliotecas: libc, libcap y Módulo de Autenticación Conectable (PAM), lo que hace que los procesos existentes y nuevos utilicen las funciones modificadas, lo que esencialmente le permite recopilar credenciales, ocultar la actividad de la red y configurar acceso remoto al host por medio de SSH, mientras permanece oculto.

Además, OrBit se basa en una gran cantidad de métodos que le permiten funcionar sin alertar de su presencia y establecer la persistencia de una forma que dificulta su eliminación de las máquinas infectadas.

Una vez activado, el objetivo final de la puerta trasera es robar información conectando las funciones de lectura y escritura para capturar los datos que escriben los procesos ejecutados en la máquina, incluidos los comandos bash y sh, cuyos resultados se almacenan en archivos específicos.

«Lo que hace que este malware sea especialmente interesante es el enlace casi hermético de las bibliotecas en la máquina de la víctima, lo que permite que el malware gane persistencia y evada la detección mientras roba información y configura la backdoor SSH», dijo Fishbein.

«Las amenazas que apuntan a Linux siguen evolucionando mientras se mantienen exitosamente bajo el rada de las herramientas de seguridad, ahora OrBit es un ejemplo más de cuán evasivo y persistente puede ser el nuevo malware».


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180192143715428 Nombre: Masterhacks LATAM Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada.