El nuevo malware sigiloso OrBit roba datos de dispositivos Linux

Se identificó que para campañas maliciosas está siendo utilizado un malware de Linux recientemente descubierto, con el objetivo de robar información de sistemas basados en Linux con puertas traseras e infectar todos los procesos en ejecución en la máquina.


Malware, mano en computadora

Apodado OrBit por los investigadores de seguridad de Intezer Labs. Este malware secuestra bibliotecas compartidas para interceptar llamadas a funciones modificando la variable de entorno LD_PRELOAD en dispositivos comprometidos.


Si bien puede ganar persistencia utilizando dos métodos diferentes para bloquear los intentos de eliminación, OrBit también se puede implementar como un implante volátil cuando se copia en la memoria de corrección. También puede conectar varias funciones para evadir la detección, controlar el comportamiento del proceso, mantener la persistencia infectando nuevos procesos y ocultar la actividad de la red que revelaría su presencia.


Por ejemplo, una vez que se inyecta en un proceso en ejecución, OrBit puede manipular su salida para ocultar cualquier rastro de su existencia al filtrar lo que se registra. "Una vez que se instala el malware, infectará todos los procesos en ejecución, incluidos los nuevos procesos, que se ejecutan en la máquina". Según expertos.


Aunque los componentes de dropper and payload de OrBit no fueron detectados por los motores antivirus cuando se detectó el malware por primera vez, algunos proveedores de antimalware han actualizado sus productos para advertir a los clientes de su presencia.


OrBit no es el primer malware de Linux altamente evasivo que ha surgido recientemente, capaz de usar enfoques similares para comprometer completamente los dispositivos de puerta trasera. Por otro lado, Symbiote también usa la directiva LD_PRELOAD para cargarse en procesos en ejecución, actuando como un parásito en todo el sistema y sin dejar signos de infección.


Sin descartar a BPFDoor, otro malware detectado recientemente que se dirige a los sistemas Linux y se camufla usando los nombres de los demonios comunes del sistema, lo que lo ayudó a pasar desapercibido durante más de cinco años.


Ambas cepas utilizan la funcionalidad de enlace BPF (Berkeley Packet Filter) para monitorear y manipular el tráfico de la red, lo que ayuda a ocultar sus canales de comunicación de las herramientas de seguridad.


Un tercer malware de Linux, un rootkit en intenso desarrollo denominado Syslogk y presentado por investigadores de Avast el mes pasado, puede forzar la carga de sus propios módulos en el kernel de Linux, máquinas comprometidas de puerta trasera y ocultar directorios y tráfico de red para evadir la detección.


Aunque últimamente no es la primera variedad de malware ni la más original dirigida a Linux, OrBit todavía viene con su parte de capacidades que lo diferencian de otras amenazas.


“Este malware roba información de diferentes comandos y utilidades y los almacena en archivos específicos en la máquina. Además, hay un uso extensivo de archivos para almacenar datos, algo que no se había visto antes”, agregó Fishbein.

"Lo que hace que este malware sea especialmente interesante es el enlace casi hermético de las bibliotecas en la máquina de la víctima, lo que permite que el malware gane persistencia y evada la detección mientras roba información y configura la puerta trasera SSH".




Referencias y Créditos:

Gatlan, S. (2022, 7 julio). New stealthy OrBit malware steals data from Linux devices. BleepingComputer. Recuperado 12 de julio de 2022, de https://www.bleepingcomputer.com/news/linux/new-stealthy-orbit-malware-steals-data-from-linux-devices/

2 visualizaciones0 comentarios