Los investigadores de ciberseguridad han descubierto un nuevo y sigiloso malware para Linux que aprovecha una técnica poco convencional para lograr persistencia en sistemas infectados y ocultar el código de clonación de tarjetas de crédito.
El malware, atribuido a un actor de amenazas con motivaciones económicas, tiene el nombre en código sedexp por el equipo de servicios de respuesta a incidentes Stroz Friedberg de Aon.
«Esta amenaza avanzada, activa desde 2022, se oculta a simple vista mientras proporciona a los atacantes capacidades de shell inverso y tácticas de ocultación avanzadas», afirman los investigadores Zachary Reichert, Daniel Stein y Joshua Pivirotto. dicho.
No es sorprendente que los actores maliciosos estén constantemente improvisando y perfeccionando sus habilidades y hayan recurrido a técnicas novedosas para evadir la detección.
Lo que hace que sedexp sea destacable es el uso de reglas udev para mantener la persistencia. Udev, reemplazo del sistema de archivos de dispositivos, ofertas un mecanismo para identificar dispositivos según sus propiedades y configurar reglas para responder cuando hay un cambio en el estado del dispositivo, es decir, cuando se conecta o se quita un dispositivo.
Cada línea en el archivo de reglas de udev tiene al menos un par clave-valor, lo que hace posible hacer coincidir dispositivos por nombre y activar ciertas acciones cuando se detectan varios eventos del dispositivo (por ejemplo, activar una copia de seguridad automática cuando se conecta una unidad externa).
«Una regla coincidente puede especificar el nombre del nodo del dispositivo, agregar enlaces simbólicos que apunten al nodo o ejecutar un programa específico como parte del manejo de eventos», SUSE Linux notas en su documentación. «Si no se encuentra ninguna regla coincidente, se utiliza el nombre de nodo de dispositivo predeterminado para crear el nodo de dispositivo».
La regla udev para sedexp — ACTION==»add», ENV{MAJOR}==»1″, ENV{MINOR}==»8″, RUN+=»asedexpb run:+» — está configurada de tal manera que el malware se ejecuta siempre que /dev/random (corresponde a Dispositivo menor número 8) se carga, lo que normalmente ocurre en cada reinicio.
Dicho de otra manera, el programa especificado en el parámetro RUN se ejecuta cada vez que se reinicia el sistema.
El malware viene con capacidades para lanzar un shell inverso para facilitar el acceso remoto al host comprometido, así como modificar la memoria para ocultar cualquier archivo que contenga la cadena «sedexp» de comandos como ls o find.
Stroz Friedberg dijo que en los casos investigados, la capacidad se ha utilizado para ocultar shells web, archivos de configuración de Apache alterados y la propia regla udev.
«El malware se utilizó para ocultar un código de extracción de datos de tarjetas de crédito en un servidor web, lo que indica que se centraba en obtener beneficios económicos», afirmaron los investigadores. «El descubrimiento de sedexp demuestra la creciente sofisticación de los actores de amenazas con motivaciones económicas más allá del ransomware».