Los investigadores de ciberseguridad han marcado una plaga llamada Backdoor de Linux previamente indocumentada, que ha logrado evitar la detección durante un año.
«El implante se construye como una PAM maliciosa (módulo de autenticación conectable) que permite a los atacantes pasar por alto silenciosamente la autenticación del sistema y obtener acceso permanente a SSH», dijo Pierre-Henri Pezier, investigador de Nextron Systems.
Un módulo de autenticación conectable se refiere a un conjunto de bibliotecas compartidas utilizadas para administrar la autenticación de los usuarios a aplicaciones y servicios en sistemas basados en Linux y UNIX.
Dado que el módulo PAM se carga en el proceso de autenticación privilegiado, un PAM incorrecto permite el robo de credenciales del usuario, evita las verificaciones de autenticación y los deja desconocidos por las herramientas de seguridad.
La compañía de ciberseguridad dijo que había descubierto múltiples artefactos de peste cargados a Bilstotal desde el 29 de julio de 2024, y ninguno de ellos se detectó como malicioso. Además, la presencia de algunas muestras indica el desarrollo activo de malware por actores de amenaza desconocidos detrás de él.
La plaga cuenta con cuatro características distintas: ingeniería inversa utilizando credenciales estáticas, análisis de resistencia y ofuscación de cadenas para permitir el acceso a la cobertura. Hemos aumentado sigiloso al borrar la evidencia de las sesiones de SSH.
Esto se logra utilizando ssh_connection o ssh_client para corregir variables de entorno como ssh_connection o ssh_client y redirigir histfile a /dev /null para evitar el registro de los comandos de shell.
«La peste está profundamente integrada en la pila de autenticación, resiste las actualizaciones del sistema y deja pequeños rastros forenses», dijo Pezier. «Combinado con la ofuscación en capas y la manipulación ambiental, esto hace que sea extremadamente difícil detectar el uso de herramientas tradicionales».
Source link
