Amenazas de malware Linux: bots, backdoors, troyanos y aplicaciones maliciosas. Parte I


El malware que ataca a los sistemas Linux es raro, pero cuando aparece no debe ser ignorado.

Linux no tiene malware, ¿verdad? Según los estándares esto ha sido históricamente cierto. Pero ahora, de una forma u otra, Linux impulsa gran parte de la web, con el sistema operativo de código abierto manteniendo funcionando a los usuarios de internet como Google, Facebook y Wikipedia. No solo los servidores de poder de Linux, sino que son cada vez más cruciales para dispositivos y el Internet de las cosas, y el hecho de que todos los dispositivos Android en el planeta se basan en el software de código abierto. Todo esto hace que los sistemas Linux sean un objetivo irresistible.

Si bien los ataques que siguen a los entornos de escritorio Linux son relativamente más raros en comparación con sus homólogos de Windows, todavía están por ahí, y no deben ignorarse. Sigue leyendo para encontrar el malware de Linux más desagradable que existe.

1. CrossRat

Se sospecha de haber sido desarrollado por el grupo hacker libanés 'Dark Caracal' y expuesto por primera vez en un informe conjunto de Lookout y la Electronic Frontier Foundation, el malware CrossRAT es una pieza de sistema cruzado de spyware basado en Java que es capaz de para cambiar los archivos del sistema y tomar capturas de pantalla, así como para copiar, mover o leer archivos.En Linux, CrossRAT intenta escribir una copia de sí mismo en /usr/var/mediamgrs.jar, y si no es posible, se copiará en el directorio de inicio. Una vez incrustado en su máquina, ejecuta su comando y controla el servidor a través de TCP. El objetivo del malware parece ser la vigilancia.Si bien es mucho más desagradable en Windows, donde puede ejecutar archivos DLL, la muestra del EFF era solo la versión 0.1, lo que sugiere que todavía está en desarrollo. Cuando se descubrió por primera vez, solo unos pocos programas antimalware pudieron detectarlo, lo que llevó a algunos analistas a describirlo como "indetectable".Sin embargo, eso no es estrictamente cierto. Como escribe TWCN, en Linux puede buscar un archivo de inicio automático, muy probablemente llamado mediamgrs.desktop, dentro de ~ / .config / autostart o probar el archivo jar, mediamgrs.jar en / usr / var.

2. GoScanSSH

El departamento de inteligencia y amenazas de Cisco, Talos, descubrió una nueva cepa de malware dirigida a servidores SSH abiertos a internet, nombrados por la organización como GoScanSSH. Está escrito en Golang, un lenguaje de programación relativamente inusual para codificar malware.Parece que GoScanSSH apuntó a dispositivos Linux con credenciales débiles o predeterminadas, intentando abrirse camino a fuerza de fuerza en los servidores con una lista de miles de nombres de usuario predeterminados típicos, como 'admin', 'guest', 'user' o 'ubuntu'. También fue después de dispositivos como Raspberry Pi, iPhones jailbroken y dispositivos Huawei con credenciales predeterminadas.Curiosamente, el malware esquivaría específicamente los dominios gubernamentales y militares, como .army.police.uk y .gov.uk.La función principal del malware parece ser escanear en busca de dispositivos vulnerables que podrían abrirse para una mayor explotación por parte de los atacantes. También usaría el servicio de proxy Tor2Web para hacer que la infraestructura controlada por el atacante sea más difícil de rastrear y eliminar.

3. RubyMiner

Un minero de criptomonedas llamado 'RubyMiner' buscó servidores web en busca de sistemas no parcheados para explotar y ejecutar secretamente programas de minería. El investigador Stefan Tanase dijo al sitio web de noticias de seguridad Bleeping Computer que los atacantes usarían una herramienta de huellas dactilares del servidor para encontrar servidores sin parches, y luego explotarlos para infectarlos con el programa de minería.

Tanto los servidores de Windows como los de Linux fueron atacados, y una vez comprometido, un script se descargaría y ejecutaría una versión modificada de la aplicación XMRig Monero, para extraer la criptomoneda Monero.

La firma de seguridad CheckPoint señaló que hasta el 30 por ciento de las redes en todo el mundo sufrieron intentos de compromiso por parte de RubyMiner.

4. Erebus ransomware

En 2017, los investigadores desenterraron una cepa del Erebus ransomware que se había adaptado al servidor Linux y entornos de escritorio, con la empresa de alojamiento web surcoreana NAYANA afectada por un ataque que había infectado hasta 153 de sus servidores.Una vez que Erebus comprometió la red, se extendió a sitios web, bases de datos y archivos multimedia alojados por NAYANA, afectando a 3.400 de sus clientes.Como señala Trend Micro, el primer ataque de Erebus se informó en septiembre de 2016, cuando los anuncios de banner con código malicioso infectaron a los usuarios con el kit Rig exploit, que luego se utilizó para infectar los sistemas con ransomware.Esta variante, portada a Linux, usó el algoritmo RSA para encriptar archivos con claves AES (Advanced Encryption Standard). Exigió 10 bitcoins al principio, luego bajó a cinco bitcoins y tipos de archivos específicos, incluidos documentos de oficina, archivos, archivos de correo electrónico, bases de datos, archivos de proyectos de desarrolladores y archivos multimedia. Utilizó la utilidad cron de UNIX para comprobar si el ransomware se estaba ejecutando, y agregó un falso servicio Bluetooth para asegurarse de que el malware se ejecutara en el caso de un reinicio del sistema o del servidor.Red Hat recomienda que, como suele ser el caso del ransomware, las medidas preventivas son probablemente las más efectivas: mantener servidores y estaciones de trabajo actualizados con parches y mantener copias de seguridad de datos, porque si se infectan, una reinstalación de software y restauración de datos "puede ser la más fácil". resolución".

5. Hand of Thief Trojan - 2013

Hand of Thief fue creado para ejecutarse en 15 distribuciones de Linux como creador de datos y credenciales, convirtiéndolo en uno de los troyanos Linux más desagradables cuando debutó en 2013. Había sido descubierto para la venta en el crimen clandestino ruso.

6. Jellyfish graphics card malware - 2015

Creado por investigadores como una plataforma malware en prueba de concepto diseñada para resaltar la posibilidad de que el malware pueda ocultarse o usar GPU. No es una preocupación nueva, sino una implementación ordenada que ofrece un rootkit de Linux y un troyano de acceso remoto basado en Windows.

7. 'HEUR' backdoor Java app - 2014

Una aplicación Java maliciosa (que se ejecuta en Windows y Mac, así como en Linux), esta amenaza golpea los defectos sin parche en esa plataforma. Los sistemas infectados se convirtieron en parte de un antiguo robot DDoS de escritorio.



Publicar un comentario

0 Comentarios