Los investigadores de ciberseguridad han marcado una puerta trasera de Linux previamente no documentada denominada Plaga que ha logrado evadir la detección durante un año.
“El implante está construido como un malicioso PAM (Módulo de autenticación conectable), que permite a los atacantes eludir silenciosamente la autenticación del sistema y obtener acceso SSH persistente”, dijo el investigador de Nextron Systems, Pierre-Henri Pezier dijo.
Los módulos de autenticación conectables se refieren a un conjunto de bibliotecas compartidas que se utilizan para administrar la autenticación de usuarios en aplicaciones y servicios en sistemas basados en Linux y UNIX.
Dado que los módulos PAM se cargan en procesos de autenticación privilegiados, un PAM no autorizado puede enable robo de credenciales de usuario, eludir comprobaciones de autenticación y pasar desapercibido para las herramientas de seguridad.
La compañía de ciberseguridad dijo que descubrió múltiples artefactos de Plague cargados en VirusTotal desde el 29 de julio de 2024, y ninguno de ellos fue detectado por motores antimalware como malicioso. Es más, la presencia de varias muestras indica el desarrollo activo del malware por parte de los actores de amenazas desconocidos detrás de él.
Plague cuenta con cuatro características destacadas: credenciales estáticas para permitir acceso encubierto, análisis de resistencia e ingeniería inversa mediante antidepuración y ofuscación de cadenas; y sigilo mejorado al borrar evidencia de una sesión SSH.
Esto, a su vez, se logra desactivando variables de entorno como CONEXIÓN_SSH y CLIENTE_SSH usando unsetenv y redirigiendo HISTFILE a/dev/null para evitar el registro de comandos de shell, a fin de evitar dejar un rastro de auditoría.
“Plague se integra profundamente en la pila de autenticación, sobrevive a las actualizaciones del sistema y casi no deja rastros forenses”, señaló Pezier. “Combinado con la ofuscación en capas y la manipulación del entorno, esto hace que sea excepcionalmente difícil de detectar utilizando herramientas tradicionales”.
Fuente: The Hacker News.