hiddenwasp-linux-malware

Los investigadores de seguridad de Intezer Labs han descubierto un nuevo malware dirigido al ecosistema de Linux. El malware llamado ‘HiddenWasp’, este es implementaron para controlar de forma remota los sistemas Linux infectados.

Aunque no son infrecuentes, los especialistas en seguridad de redes mencionan que los riesgos de seguridad presentes en los sistemas Linux no se conocen con suficiente amplitud.

Y es que la principal característica es que este tipo estas amenazas de seguridad no reciben tanta difusión como las que afectan a los sistemas Windows.

HiddenWasp es una amenaza de ciberseguridad que debe abordarse, ya que después de algunos análisis, se concluye que tiene una tasa de detección del 0% en los sistemas de detección de malware más utilizados en el mundo.

El malware también se desarrolla a partir de las principales partes del código utilizado en el rootkit Mirai y Azazel.

Cuando los investigadores detectaron que estos archivos no son detectados por los antivirus, parecía que entre los archivos cargados había una secuencia de comandos de bash junto con un implante binario de troyanos.

Además, las soluciones antivirus para Linux tienden a no ser tan resistentes como en otras plataformas.

Por lo tanto, hackers que se dirigen a los sistemas Linux están menos preocupados por la implementación de técnicas de evasión excesivas, ya que incluso cuando se reutilizan grandes cantidades de código, las amenazas pueden relativamente mantenerse bajo el radar.

Sobre Hiddenwasp

Hiddenwasp tiene características bastantes singulares pues el malware aún está activo y tiene una tasa de detección de cero en todos los principales sistemas antivirus.

A diferencia del malware de Linux común, HiddenWasp no está enfocado en la criptografía o la actividad DDoS. Es un troyano puramente usado para control remoto dirigido.

La evidencia muestra una alta probabilidad de que el malware se use en ataques dirigidos para las víctimas que ya están bajo el control del atacante, o que han pasado por un gran reconocimiento.

Los autores de HiddenWasp han adoptado una gran cantidad de código de varios programas maliciosos de código abierto disponibles públicamente, como Mirai y el rootkit de Azazel.

Además, hay algunas similitudes entre este malware y otras familias de malware chino, sin embargo, la atribución se realiza con poca confianza.

En la investigación, los expertos descubrieron que la secuencia de comandos depende del uso de un usuario llamado ‘sftp’ con una contraseña bastante segura.

Además, el script limpia el sistema para deshacerse de las versiones anteriores del malware en caso de que una infección hubiera ocurrido antes.

Posteriormente, se descarga un archivo a la máquina comprometida desde el servidor que contiene todos los componentes, incluidos el troyano y el rootkit.

La secuencia de comandos también agrega un binario troyano a la ubicación /etc/rc.local para que funcione incluso después de reiniciar el sistema.

Los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) han encontrado varias similitudes entre el rootkit de HiddenWasp y el malware Azazel, además de compartir algunos fragmentos de cadenas con el malware ChinaZ y la red de bots Mirai .

“Gracias a HiddenWasp, los hackers pueden ejecutar comandos en el terminal de Linux, ejecutar archivos, descargar scripts adicionales y más”, agregaron los expertos.

Aunque la investigación logró algunos hallazgos, los expertos aún no conocen el vector de ataque utilizado por los hackers para infectar los sistemas Linux, aunque una forma posible es que los atacantes hayan implementado el malware de algunos sistemas que ya están bajo su control.

“HiddenWasp podría ser una segunda etapa de otro ataque”, concluyeron los expertos

¿Como prevenir o saber si mi sistema es vulnerable?

Para verificar si su sistema está infectado, pueden buscar archivos “ld.so”. Si alguno de los archivos no contiene la cadena ‘/etc/ld.so.preload’, su sistema puede verse comprometido.

Esto se debe a que el implante de troyano intentará parchear instancias de ld.so para aplicar el mecanismo LD_PRELOAD desde ubicaciones arbitrarias.

Mientras que para prevenir debemos de bloquear las direcciones IP siguientes:

103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz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 

Fuente: intezer.com | ubunlog

¿Quién está en línea?

Hay 11669 invitados y ningún miembro en línea