437
Los investigadores han descubierto una nueva pieza de malware que ha estado apuntando a sistemas Linux durante al menos dos años y no ha sido detectada. Este cobarde malware, llamado 'sedexp', se esconde a simple vista con acceso persistente a dispositivos Linux específicos. Los usuarios de Linux, especialmente las organizaciones que dependen de sistemas Linux, deben escanear sus dispositivos en busca de posibles intrusiones de malware.
El malware de Linux “sedexp” explota las reglas de udev
Los investigadores de Aon Security han descubierto un nuevo malware que ha estado activo desde 2022. Sin embargo, a pesar de dos años de campaña activa, el malware de Linux continuó infectando silenciosamente los sistemas sin ser detectado.
Específicamente, el malware, identificado como 'sedexp', se vincula a actores de amenazas 'motivados financieramente' y establece persistencia en los dispositivos objetivo. Por este motivo, el malware explota las reglas udev de Linux. Esta es una regla de configuración utilizada por udev (el sistema de administración de dispositivos del kernel de Linux) para “hacer coincidir dispositivos y realizar acciones” después de agregar o eliminar un dispositivo.
Este componente crítico de Linux puede explotarse para hacer que el malware sedexp se ejecute cada vez que ocurre un evento en el dispositivo. Técnicamente hablando, el malware se ejecuta cada vez que se carga el archivo /dev/random, y este archivo se carga cada vez que se reinicia el sistema. Por lo tanto, el malware permanece oculto y se ejecuta cada vez que se reinicia.
Además de la persistencia, que es una característica clave de sedexp, existen otras dos características importantes. Esto incluye una función de shell inverso que le da al atacante control total del sistema de destino y modificaciones de la memoria que ocultan los archivos que contienen la cadena “sedexp” de los comandos.
Los investigadores compartieron un análisis técnico detallado del malware en una publicación.
Por el momento, se desconoce la identidad exacta del actor de amenazas detrás de este malware. Sin embargo, dado el comportamiento furtivo del malware, los investigadores lo han vinculado efectivamente con operaciones de raspado de tarjetas de crédito, donde ocultar el código del malware es importante para los atacantes. Además, el hecho de que los investigadores encontraran múltiples instancias públicas de sedexp sin detecciones en entornos sandbox en línea respalda la naturaleza sigilosa del malware.
Los investigadores aconsejan a los usuarios, especialmente a las organizaciones, que realicen una investigación forense exhaustiva y oportuna de los servidores potencialmente comprometidos y tomen las medidas de seguridad adecuadas para prevenir tales amenazas.
Háganos saber su opinión en la sección de comentarios.
https://latesthackingnews.com/2024/09/01/new-sedexp-linux-malware-remained-undetected-for-two-years/
