Se ha descubierto un nuevo rootkit que afecta a los sistemas Linux (opens in a new tab), capaz tanto de cargar como de ocultar programas maliciosos.

Tal como lo revelaron los investigadores de seguridad cibernética de Avast, el rootkit de malware (se abre en una nueva pestaña), llamado Syslogk, se basa en un rootkit de código abierto más antiguo llamado Adore-Ng.

También se encuentra en una etapa relativamente temprana de desarrollo (activo), por lo que queda por ver si se convierte o no en una amenaza de pleno derecho.

Cuando se carga Syslogk, primero elimina su entrada de la lista de módulos instalados, lo que significa que la única forma de detectarlo es a través de una interfaz expuesta en el sistema de archivos /proc. Además de ocultarse de la inspección manual, también es capaz de ocultar directorios que alojan malware eliminado, ocultando procesos y tráfico de red.

Pero quizás lo más importante: puede iniciar o detener cargas útiles de forma remota.

Entra Rekoobe

Uno de esos payloads que fue descubierto por los investigadores de Avast se llama ELF:Rekoob, o más conocido como Rekoobe. Este malware es un troyano de puerta trasera escrito en C. Syslogk puede colocarlo en el punto final comprometido (se abre en una nueva pestaña) y luego dejarlo inactivo hasta que reciba un «paquete mágico» de los operadores de malware. El bolsillo mágico puede iniciar y detener malware.

“Observamos que el rootkit Syslogk (y la carga útil de Rekoobe) se alinean perfectamente cuando se usan de forma encubierta junto con un servidor SMTP falso”, explicó Avast en una publicación de blog. «Considere cuán sigiloso podría ser; una puerta trasera que no se carga hasta que se envían ciertos paquetes mágicos a la máquina. Cuando se le pregunta, parece ser un servicio legítimo oculto en la memoria, oculto en el disco, ejecutado remotamente «mágicamente», oculto en la red Incluso si se encuentra durante un escaneo de puerto de red, todavía parece ser un servidor SMTP legítimo.

Rekoobe en sí está basado en TinyShell, explica BleepingComputer, que también es de código abierto y está ampliamente disponible. Se usa para ejecutar comandos, lo que significa que ahí es donde se hace el daño: los piratas informáticos usan Rekoobe para robar archivos, filtrar información confidencial, tomar el control de las cuentas y más.

El malware también es más fácil de detectar en esta etapa, lo que significa que los delincuentes deben tener mucho cuidado al implementar y ejecutar la segunda etapa de su ataque.

Via: BleepingComputer (öppnas i en ny flik)

Dela detta