Investigadores de seguridad cibernética han revelado una nueva amenaza de Linux completamente no detectada denominada OrBit , que señala una tendencia creciente de ataques de malware dirigidos al popular sistema operativo.
El malware recibe su nombre de uno de los nombres de archivo que se utiliza para almacenar temporalmente la salida de los comandos ejecutados («/tmp/.orbit»), según la firma de ciberseguridad Intezer.
«Se puede instalar con capacidades de persistencia o como un implante volátil», dijo la investigadora de seguridad Nicole Fishbein . «El malware implementa técnicas de evasión avanzadas y gana persistencia en la máquina al conectar funciones clave, brinda a los actores de amenazas capacidades de acceso remoto a través de SSH, recopila credenciales y registra comandos TTY».
OrBit es el cuarto malware de Linux que ha salido a la luz en un breve lapso de tres meses después de BPFDoor , Symbiote y Syslogk.
El malware también funciona de manera muy similar a Symbiote en el sentido de que está diseñado para infectar todos los procesos en ejecución en las máquinas comprometidas. Pero a diferencia de este último, que aprovecha la variable de entorno LD_PRELOAD para cargar el objeto compartido, OrBit emplea dos métodos diferentes.
«La primera forma es agregando el objeto compartido al archivo de configuración que usa el cargador», explicó Fishbein. «La segunda forma es parcheando el binario del propio cargador para que cargue el objeto compartido malicioso».
La cadena de ataque comienza con un archivo cuentagotas ELF que es responsable de extraer la carga («libdl.so») y agregarla a las bibliotecas compartidas que está cargando el enlazador dinámico .
La biblioteca compartida no autorizada está diseñada para enlazar funciones de tres bibliotecas: libc, libcap y Módulo de autenticación conectable (PAM), lo que hace que los procesos existentes y nuevos utilicen las funciones modificadas, lo que esencialmente le permite recopilar credenciales, ocultar la actividad de la red y configurar acceso remoto al host a través de SSH, mientras permanece oculto.
Además, OrBit se basa en un aluvión de métodos que le permiten funcionar sin alertar de su presencia y establecer la persistencia de una manera que dificulta su eliminación de las máquinas infectadas.
Una vez activado, el objetivo final de la puerta trasera es robar información conectando las funciones de lectura y escritura para capturar los datos que escriben los procesos ejecutados en la máquina, incluidos los comandos bash y sh, cuyos resultados se almacenan en archivos específicos.
«Lo que hace que este malware sea especialmente interesante es el enlace casi hermético de las bibliotecas en la máquina de la víctima, lo que permite que el malware gane persistencia y evada la detección mientras roba información y configura la puerta trasera SSH», dijo Fishbein.
«Las amenazas que apuntan a Linux continúan evolucionando mientras se mantienen exitosamente bajo el radar de las herramientas de seguridad, ahora OrBit es un ejemplo más de cuán evasivo y persistente puede ser el nuevo malware».