Los investigadores de seguridad cibern\u00e9tica han descubierto una nueva amenaza de Linux completamente no detectada denominada Orbita<\/strong>se\u00f1ala una tendencia creciente de ataques de malware dirigidos al popular sistema operativo.<\/p>\n El malware recibe su nombre de uno de los nombres de archivo que se utiliza para almacenar temporalmente la salida de los comandos ejecutados (“\/tmp\/.orbit”), seg\u00fan la empresa de ciberseguridad Intezer.<\/p>\n “Se puede instalar con capacidades de persistencia o como un implante vol\u00e1til”, investigadora de seguridad Nicole Fishbein. dijo<\/a>. “El malware implementa t\u00e9cnicas de evasi\u00f3n avanzadas y gana persistencia en la m\u00e1quina al conectar funciones clave, brinda a los actores de amenazas capacidades de acceso remoto a trav\u00e9s de SSH, recopila credenciales y registra comandos TTY”.<\/p>\n OrBit es el cuarto malware de Linux que ha salido a la luz en un breve lapso de tres meses despu\u00e9s de BPFDoor, Symbiote y Syslogk.<\/p>\n El malware tambi\u00e9n funciona de manera muy similar a Symbiote en el sentido de que est\u00e1 dise\u00f1ado para infectar todos los procesos en ejecuci\u00f3n en las m\u00e1quinas comprometidas. Pero a diferencia de este \u00faltimo que aprovecha la Variable de entorno LD_PRELOAD<\/a> para cargar el objeto compartido, OrBit emplea dos m\u00e9todos diferentes.<\/p>\n “La primera forma es agregando el objeto compartido al archivo de configuraci\u00f3n que usa el cargador”, explic\u00f3 Fishbein. “La segunda forma es parcheando el binario del propio cargador para que cargue el objeto compartido malicioso”.<\/p>\n La cadena de ataque comienza con un cuentagotas ELF<\/a> archivo que es responsable de extraer el carga \u00fatil<\/a> (“libdl.so”) y agregarlo a las bibliotecas compartidas que est\u00e1 cargando el enlazador din\u00e1mico<\/a>.<\/p>\n La biblioteca compartida no autorizada est\u00e1 dise\u00f1ada para funciones de gancho<\/a> de tres bibliotecas: libc, libcap y M\u00f3dulo de autenticaci\u00f3n conectable (PAM), lo que hace que los procesos existentes y nuevos utilicen las funciones modificadas, lo que esencialmente les permite recopilar credenciales, ocultar la actividad de la red y configurar el acceso remoto al host a trav\u00e9s de SSH, todo mientras permanece bajo el radar.<\/p>\n
![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n