El malware no detectado ataca los sistemas linux

Un nuevo malware único y sofisticado de Linux llamado HiddenWasp se usa en ataques dirigidos contra víctimas que ya están siendo atacados o que han pasado por un gran reconocimiento. 

El malware es altamente sofisticado y no fue detectado; el malware aún está activo y tiene una tasa de detección de cero. El malware adoptó una gran cantidad de códigos de malware disponible públicamente, como Mirai y el rootkit de Azazel. 

A diferencia de los programas maliciosos de Windows, los autores de programas maliciosos de Linux no se concentrarán mucho con las técnicas de evasión, ya que la tendencia de usar soluciones antivirus en la máquina Linux es muy inferior en comparación con otras plataformas.

Sin embargo, el informe de Intezer muestra que “el malware con técnicas de evasión fuerte existe para la plataforma Linux. También hay una alta proporción de malware de código abierto disponible públicamente que utiliza técnicas de evasión fuerte y puede ser fácilmente adaptado por los atacantes “. En el pasado, vimos muchos malware centrado en la actividad de criptografía o DDoS, pero HiddenWasp es puramente un Ataque a control remoto dirigido. 

El malware se compone de un rootkit en modo de usuario, un troyano y un script de implementación inicial. Los investigadores descubrieron que los archivos no se detectaron en VirusTotal y el malware alojado en los servidores de una empresa de alojamiento ThinkDream ubicada en Hong Kong.

Al analizar las secuencias de comandos, Intezer detectó un usuario llamado ‘sftp’ y códigos duros, que se pueden usar para el compromiso inicial y también las secuencias de comandos tienen una variable para eliminar las versiones anteriores de los sistemas comprometidos. 

Los scripts también incluyen variables para determinar la arquitectura del servidor del sistema comprometido y descargar componentes del servidor malicioso en función de la arquitectura del servidor comprometido. Una vez instalados los componentes, el troyano se ejecutará en el sistema. 

“Dentro de este guión, pudimos observar que los implantes principales se descargaron en forma de archivos. Como se mencionó anteriormente, cada tarball contiene el troyano principal, el rootkit y un script de implementación para las compilaciones x86 y x86_64 en consecuencia “.

fuente: ehackingnews.com/

Comments are closed.