Los investigadores de ciberseguridad han traumatizado una puerta trasera de Linux previamente indocumentada doblada Plaga Eso ha conseguido escamotear la detección durante un año.
“El implante se construye como una PAM maliciosa (módulo de autenticación conectable), lo que permite a los atacantes producirse por parada silenciosamente la autenticación del sistema y obtener acercamiento persistente de SSH”, dijo el investigador de sistemas de Nextron Pierre-Henri Pezier.
Los módulos de autenticación conectables se refieren a un conjunto de bibliotecas compartidas utilizadas para llevar la batuta la autenticación de los usuarios a aplicaciones y servicios en sistemas basados en Linux y UNIX.
Cubo que los módulos PAM se cargan en procesos de autenticación privilegiados, una PAM deshonesta puede habilitar el robo de credenciales de los usuarios, silenciar las verificaciones de autenticación y permanecer sin ser detectado por las herramientas de seguridad.
La compañía de ciberseguridad dijo que descubrió múltiples artefactos de peste cargados a Virustotal desde el 29 de julio de 2024, sin ningún de ellos detectados por motores de antimalware como maliciosos. Por otra parte, la presencia de varias muestras indica el crecimiento activo del malware por los actores de amenaza desconocidos detrás de él.
La plaga se jacta de cuatro características destacadas: credenciales estáticas para permitir el acercamiento encubierto, el exploración de resistor y la ingeniería inversa utilizando anti-fugación y ofuscación de cadenas; y mejorado sigiloso borrando la evidencia de una sesión de SSH.
Esto, a su vez, se logra mediante variables de entorno injusticias como SSH_Connection y SSH_Client usando Unsetenv, y redirigiendo la histfile a /dev /null para evitar el registro del comando de la concha, para evitar dejar una ruta de auditoría.
“Plague se integra profundamente en la pila de autenticación, sobrevive a las actualizaciones del sistema y casi no deja rastros forenses”, señaló Pezier. “Combinado con la ofuscación en capas y la manipulación del entorno, esto hace que sea excepcionalmente difícil detectar el uso de herramientas tradicionales”.
