{"id":1332892,"date":"2024-08-25T09:12:04","date_gmt":"2024-08-25T09:12:04","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-malware-de-linux-sedexp-oculta-escaneres-de-tarjetas-de-credito-mediante-reglas-udev\/"},"modified":"2024-08-25T09:12:09","modified_gmt":"2024-08-25T09:12:09","slug":"el-nuevo-malware-de-linux-sedexp-oculta-escaneres-de-tarjetas-de-credito-mediante-reglas-udev","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-malware-de-linux-sedexp-oculta-escaneres-de-tarjetas-de-credito-mediante-reglas-udev\/","title":{"rendered":"El nuevo malware de Linux &#8216;sedexp&#8217; oculta esc\u00e1neres de tarjetas de cr\u00e9dito mediante reglas Udev"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Fraude financiero\/Ciberdelito<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-nuevo-malware-de-Linux-sedexp-oculta-escaneres-de-tarjetas.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han descubierto un nuevo y sigiloso malware para Linux que aprovecha una t\u00e9cnica poco convencional para lograr persistencia en sistemas infectados y ocultar el c\u00f3digo de clonaci\u00f3n de tarjetas de cr\u00e9dito.<\/p>\n<p>El malware, atribuido a un actor de amenazas con motivaciones econ\u00f3micas, tiene el nombre en c\u00f3digo <strong>sedexp<\/strong> por el equipo de servicios de respuesta a incidentes Stroz Friedberg de Aon.<\/p>\n<p>&#8220;Esta amenaza avanzada, activa desde 2022, se oculta a simple vista mientras proporciona a los atacantes capacidades de shell inverso y t\u00e1cticas de ocultaci\u00f3n avanzadas&#8221;, afirman los investigadores Zachary Reichert, Daniel Stein y Joshua Pivirotto. <a rel=\"nofollow noopener\" href=\"https:\/\/www.aon.com\/en\/insights\/cyber-labs\/unveiling-sedexp\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>No es sorprendente que los actores maliciosos est\u00e9n constantemente improvisando y perfeccionando sus habilidades y hayan recurrido a t\u00e9cnicas novedosas para evadir la detecci\u00f3n.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-a-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Nuevas-fallas-en-los-altavoces-inteligentes-Sonos-permiten-a-los.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Lo que hace que sedexp sea destacable es el uso de reglas udev para mantener la persistencia. Udev, reemplazo del sistema de archivos de dispositivos, <a rel=\"nofollow noopener\" href=\"https:\/\/wiki.debian.org\/udev\" target=\"_blank\">ofertas<\/a> un mecanismo para identificar dispositivos seg\u00fan sus propiedades y configurar reglas para responder cuando hay un cambio en el estado del dispositivo, es decir, cuando se conecta o se quita un dispositivo.<\/p>\n<p>Cada l\u00ednea en el archivo de reglas de udev tiene al menos un par clave-valor, lo que hace posible hacer coincidir dispositivos por nombre y activar ciertas acciones cuando se detectan varios eventos del dispositivo (por ejemplo, activar una copia de seguridad autom\u00e1tica cuando se conecta una unidad externa).<\/p>\n<p>&#8220;Una regla coincidente puede especificar el nombre del nodo del dispositivo, agregar enlaces simb\u00f3licos que apunten al nodo o ejecutar un programa espec\u00edfico como parte del manejo de eventos&#8221;, SUSE Linux <a rel=\"nofollow noopener\" href=\"https:\/\/documentation.suse.com\/sles\/12-SP5\/html\/SLES-all\/cha-udev.html\" target=\"_blank\">notas<\/a> en su documentaci\u00f3n. &#8220;Si no se encuentra ninguna regla coincidente, se utiliza el nombre de nodo de dispositivo predeterminado para crear el nodo de dispositivo&#8221;.<\/p>\n<p>La regla udev para sedexp &#8212; ACTION==&#8221;add&#8221;, ENV{MAJOR}==&#8221;1&#8243;, ENV{MINOR}==&#8221;8&#8243;, RUN+=&#8221;asedexpb run:+&#8221; &#8212; est\u00e1 configurada de tal manera que el malware se ejecuta siempre que \/dev\/random (corresponde a <a rel=\"nofollow noopener\" href=\"https:\/\/www.kernel.org\/doc\/Documentation\/admin-guide\/devices.txt\" target=\"_blank\">Dispositivo menor n\u00famero 8<\/a>) se carga, lo que normalmente ocurre en cada reinicio.<\/p>\n<p>Dicho de otra manera, el programa especificado en el par\u00e1metro RUN se ejecuta cada vez que se reinicia el sistema.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1723190360_817_El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>El malware viene con capacidades para lanzar un shell inverso para facilitar el acceso remoto al host comprometido, as\u00ed como modificar la memoria para ocultar cualquier archivo que contenga la cadena &#8220;sedexp&#8221; de comandos como ls o find.<\/p>\n<p>Stroz Friedberg dijo que en los casos investigados, la capacidad se ha utilizado para ocultar shells web, archivos de configuraci\u00f3n de Apache alterados y la propia regla udev.<\/p>\n<p>&#8220;El malware se utiliz\u00f3 para ocultar un c\u00f3digo de extracci\u00f3n de datos de tarjetas de cr\u00e9dito en un servidor web, lo que indica que se centraba en obtener beneficios econ\u00f3micos&#8221;, afirmaron los investigadores. &#8220;El descubrimiento de sedexp demuestra la creciente sofisticaci\u00f3n de los actores de amenazas con motivaciones econ\u00f3micas m\u00e1s all\u00e1 del ransomware&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/new-linux-malware-sedexp-hides-credit.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 de agosto de 2024\ue804Ravie LakshmananFraude financiero\/Ciberdelito Los investigadores de ciberseguridad han descubierto un nuevo y sigiloso malware<\/p>\n","protected":false},"author":1,"featured_media":1332893,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,10335,27557,4667,18038,4669,239182,11078,4654,239508,4658,4659,4653,480,15257,649,249949,246983,4665,246984,5502,249950,246982,239484],"class_list":["post-1332892","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-credito","tag-escaneres","tag-las-noticias-de-los-hackers","tag-linux","tag-malware","tag-malware-ransomware","tag-mediante","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-nuevo","tag-oculta","tag-reglas","tag-sedexp","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-tarjetas","tag-udev","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1332892","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1332892"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1332892\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1332893"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1332892"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1332892"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1332892"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}