La gente de Kaspersky y CrowdStrike, han identificado un nuevo malware que afecta al kernel Linux en plataformas de 64 bits.
Hasta los momentos las distribuciones que han sido afectadas son debian squeeze y nginx 1.2.3, y la forma de ataque es típica de los conocidos rootkit.
El método que usa el malware para infectar el kernel es añadiendo primeramente una entrada en el /etc/rc.local script para luego ocultar su presencia. El malware afecta varias funciones del kernel como “vfs_read” o “filldir64”, sustituyendo sus direcciones en memoria con punteros a sus propias funciones maliciosas.
Adicionalmente el malware logra inyectar iframes reemplazando las funciones de “tcp_sendmsg” por sus propias funciones maliciosas. El iframe es inyectado en el trafico HTTP modificando las salidas de paquetes TCP.
Por último el rootkit se conecta a un servidor de comando y control para así obtener la carga útil de la inyección iframe. Para la autentificación, el rootkit usa una contraseña encriptada.
Según Kaspersky y CrowdStrike, el malware (hasta ahora desconocido) no representa mucha gravedad, ya que varias de sus funciones no funcionan correctamente, las variantes no se ofuscan y carece de una buena respuesta al usar el http, por lo que llegaron a la conclusión de que se trataría de un programador que no conoce muy bien el Kernel Linux y su procedencia es muy probable que sea de Rusia, ya que en ese país acostumbran a lanzar malwares desconocidos.
Sin embargo esto demuestra que los atacantes informáticos están poniendo la mirada en otras plataformas en crecimiento, mediante ataques sofisticados.
Fuente: libuntu
