Un nuevo malware para Linux (se abre en una pestaña nueva) Se ha detectado una cepa capaz de diferentes tipos de cosas desagradables, capaz de abusar de los servicios en la nube legítimos para permanecer oculto a simple vista.
Investigadores de ciberseguridad de AT&T Alien Labs descubrieron recientemente (se abre en una pestaña nueva) el malware y lo llamó Shikitega. Viene con un cuentagotas súper pequeño (376 bytes), que utiliza un codificador polimórfico que reduce gradualmente la carga útil. Eso significa que el malware descargará y ejecutará un módulo a la vez, asegurándose de que permanezca oculto y persistente.
El servidor de comando y control (C2) para el malware está alojado en un «servicio de alojamiento conocido», lo que lo hace más sigiloso, se dijo.
Abuso de PwnKit
Los investigadores no están absolutamente seguros de qué intentaban lograr los autores del malware.
Shikitega es bastante potente, ya que puede ejecutarse en todo tipo de Linux (se abre en una pestaña nueva) dispositivos, y permite a los actores de amenazas controlar la cámara web en el punto final de destino (se abre en una pestaña nueva), así como robar credenciales. Por otro lado, también es capaz de ejecutar XMRig, un criptojacker conocido que extrae la criptomoneda Monero para los atacantes. Uno solo puede especular que el XMRig se agregó para hacer uso de dispositivos comprometidos que no tienen datos confidenciales para ser robados.
El malware se basa en dos vulnerabilidades, ambas reparadas hace meses, para comprometer los dispositivos y lograr la persistencia. Una es PwnKit (CVE-2021-4034), una de las vulnerabilidades más infames que pasó desapercibida durante unos 12 años, antes de ser finalmente detectada y reparada a principios de este año. El otro es CVE-2021-3493, descubierto y parcheado hace más de un año (en abril de 2021).
Si bien hay una solución para estos dos agujeros, dicen los investigadores, muchos administradores de TI aún no los han aplicado, especialmente cuando se trata de dispositivos de Internet de las cosas (IoT).
Los investigadores aún no saben quiénes son los autores y sugieren a todos los administradores de Linux que mantengan su software actualizado, instalen un antivirus (se abre en una pestaña nueva) y/o EDR en todos los puntos finales, y asegúrese de que hagan una copia de seguridad de sus archivos de servidor.
Vía: Ars Technica (se abre en una pestaña nueva)