La backdoor PAM «Plague» expone los sistemas Linux críticos al robo de credenciales

Investigadores en ciberseguridad han identificado una puerta trasera en Linux, previamente no documentada, denominada Plague, la cual ha logrado eludir la detección durante un año.

“Este implante fue diseñado como un módulo malicioso PAM (Pluggable Authentication Module), lo que permite a los atacantes eludir discretamente la autenticación del sistema y mantener acceso persistente vía SSH”, explicó Pierre-Henri Pezier, investigador de Nextron Systems.

Los Módulos de Autenticación Enchufables (PAM, por sus siglas en inglés) son un conjunto de bibliotecas compartidas utilizadas para gestionar la autenticación de usuarios en aplicaciones y servicios dentro de sistemas Linux y UNIX.

Dado que estos módulos se cargan dentro de procesos de autenticación con privilegios elevados, un PAM malicioso puede permitir el robo de credenciales, eludir mecanismos de autenticación, y permanecer invisible a las herramientas de seguridad.

La firma de ciberseguridad informó que desde el 29 de julio de 2024, detectó múltiples muestras del malware Plague subidas a VirusTotal, ninguna de las cuales fue señalada como maliciosa por los motores antimalware. Además, la aparición de varias variantes indica que los actores detrás de esta amenaza continúan desarrollándola activamente.

Plague incorpora cuatro capacidades principales: el uso de credenciales estáticas para facilitar el acceso encubierto, mecanismos para evitar el análisis y la ingeniería inversa mediante técnicas anti-depuración y ofuscación de cadenas, y una mayor capacidad de sigilo mediante la eliminación de evidencias de sesiones SSH.

Esto se logra mediante la desactivación de variables de entorno como SSH_CONNECTION y SSH_CLIENT con el uso de unsetenv, así como redirigiendo HISTFILE a /dev/null para impedir el registro de comandos ejecutados en la terminal, con el objetivo de evitar cualquier rastro en los registros de auditoría.

“Plague se integra profundamente en la pila de autenticación, sobrevive a actualizaciones del sistema y apenas deja rastros forenses”, destacó Pezier. “Combinado con capas de ofuscación y manipulación del entorno, esto lo convierte en una amenaza sumamente difícil de identificar con herramientas convencionales”.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *