Investigadores en ciberseguridad han identificado una puerta trasera en Linux, previamente no documentada, denominada Plague, la cual ha logrado eludir la detección durante un año.
“Este implante fue diseñado como un módulo malicioso PAM (Pluggable Authentication Module), lo que permite a los atacantes eludir discretamente la autenticación del sistema y mantener acceso persistente vía SSH”, explicó Pierre-Henri Pezier, investigador de Nextron Systems.
Los Módulos de Autenticación Enchufables (PAM, por sus siglas en inglés) son un conjunto de bibliotecas compartidas utilizadas para gestionar la autenticación de usuarios en aplicaciones y servicios dentro de sistemas Linux y UNIX.
Dado que estos módulos se cargan dentro de procesos de autenticación con privilegios elevados, un PAM malicioso puede permitir el robo de credenciales, eludir mecanismos de autenticación, y permanecer invisible a las herramientas de seguridad.
La firma de ciberseguridad informó que desde el 29 de julio de 2024, detectó múltiples muestras del malware Plague subidas a VirusTotal, ninguna de las cuales fue señalada como maliciosa por los motores antimalware. Además, la aparición de varias variantes indica que los actores detrás de esta amenaza continúan desarrollándola activamente.
Plague incorpora cuatro capacidades principales: el uso de credenciales estáticas para facilitar el acceso encubierto, mecanismos para evitar el análisis y la ingeniería inversa mediante técnicas anti-depuración y ofuscación de cadenas, y una mayor capacidad de sigilo mediante la eliminación de evidencias de sesiones SSH.
Esto se logra mediante la desactivación de variables de entorno como SSH_CONNECTION y SSH_CLIENT con el uso de unsetenv, así como redirigiendo HISTFILE a /dev/null para impedir el registro de comandos ejecutados en la terminal, con el objetivo de evitar cualquier rastro en los registros de auditoría.
“Plague se integra profundamente en la pila de autenticación, sobrevive a actualizaciones del sistema y apenas deja rastros forenses”, destacó Pezier. “Combinado con capas de ofuscación y manipulación del entorno, esto lo convierte en una amenaza sumamente difícil de identificar con herramientas convencionales”.
