- Nextron Systems encontró un Pluggable Authentication Module malicioso
- Lo llamaron Plague (Plaga) tras encontrar referencias a la cultura pop
- El malware es capaz de causar estragos en objetivos de alto valor
Investigadores de seguridad han descubierto un malware para Linux de gran capacidad que, de alguna manera, pasó desapercibido durante un año.
Nextron Systems informó del hallazgo de Plague, un Pluggable Authentication Module (PAM) malicioso que garantiza a los atacantes un acceso persistente y encubierto a los sistemas comprometidos.
«La puerta trasera Plague representa una amenaza sofisticada y en evolución para la infraestructura de Linux, explotando los mecanismos de autenticación básicos para mantener el sigilo y la persistencia», explicaron los investigadores. «Su uso de ofuscación avanzada, credenciales estáticas y manipulación del entorno hace que sea particularmente difícil de detectar utilizando métodos convencionales».
Inspección manual
El malware fue bautizado como Plague (peste) tras encontrar en su código una referencia a Mr. Plague, un personaje de la película Hackers de 1995.
Los investigadores señalaron que el año pasado se subieron a VirusTotal múltiples muestras, pero ninguna fue marcada como maliciosa, lo que podría indicar que la puerta trasera logró eludir el escrutinio público y la detección antivirus.
Plague se integra profundamente en la pila de autenticación, sobrevive a las actualizaciones del sistema y deja rastros forenses mínimos, explicaron los expertos.
Emplea técnicas de ofuscación de cadenas en evolución, como XOR, rutinas similares a KSA/PRGA y la capa DRBG. También cuenta con controles antidepuración y mecanismos de ocultación de sesiones que borran todo rastro de actividad. Los metadatos del compilador también mostraron que está en desarrollo activo.
Para los ciberdelincuentes, el malware que se oculta dentro de los sistemas PAM presenta múltiples ventajas.
Según un informe de CyberInsider, Plague puede robar credenciales de inicio de sesión, lo que lo hace especialmente peligroso en sistemas Linux de alto valor, como hosts bastión, servidores de salto e infraestructuras en la nube.
«Un host bastión o servidor de salto comprometido puede proporcionar a los atacantes un punto de apoyo para moverse lateralmente a través de los sistemas internos, escalar privilegios o filtrar datos sensibles», afirma la publicación.
Además, un entorno de nube comprometido podría conceder a los atacantes acceso a múltiples máquinas virtuales o servicios a la vez.
Dado que Plague todavía no ha sido detectado por las mejores herramientas antivirus, Nextron aconseja a los administradores que inspeccionen manualmente sus dispositivos, incluyendo la auditoría del directorio /lib/security en busca de módulos PAM sospechosos, la supervisión de los archivos de configuración PAM en /etc/pam.d/ en busca de cambios y la búsqueda de inicios de sesión sospechosos en los registros de autenticación.
Fuente: The Register
