Un sitio de administrador de descargas proporcion\u00f3 a los usuarios de Linux malware que rob\u00f3 sigilosamente contrase\u00f1as y otra informaci\u00f3n confidencial durante m\u00e1s de tres a\u00f1os como parte de un ataque a la cadena de suministro.<\/p>\n
El modus operandi implicaba establecer un shell inverso para un servidor controlado por un actor e instalar un ladr\u00f3n de Bash en el sistema comprometido. La campa\u00f1a, que tuvo lugar entre 2020 y 2022, ya no est\u00e1 activa.<\/p>\n
“Este ladr\u00f3n recopila datos como informaci\u00f3n del sistema, historial de navegaci\u00f3n, contrase\u00f1as guardadas, archivos de billeteras de criptomonedas, as\u00ed como credenciales de servicios en la nube (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure)”, dijeron los investigadores de Kaspersky Georgy Kucherin y Leonid Bezvershenko. dicho<\/a>.<\/p>\n El sitio web en cuesti\u00f3n es freedownloadmanager.[.]org, que, seg\u00fan la firma rusa de ciberseguridad, ofrece un software leg\u00edtimo de Linux llamado “Free Download Manager”, pero a partir de enero de 2020 comenz\u00f3 a redirigir a algunos usuarios que intentaron descargarlo a otro dominio deb.fdmpkg.[.]org que sirvi\u00f3 un paquete Debian trampa explosiva.<\/p>\n Se sospecha que los autores del malware dise\u00f1aron el ataque bas\u00e1ndose en ciertos criterios de filtrado predefinidos (por ejemplo, una huella digital del sistema) para llevar selectivamente a las v\u00edctimas potenciales a la versi\u00f3n maliciosa. Las redirecciones fraudulentas terminaron en 2022 por razones inexplicables.<\/p>\n El paquete Debian contiene un secuencia de comandos posterior a la instalaci\u00f3n<\/a> que se ejecuta durante su instalaci\u00f3n para colocar dos archivos ELF, \/var\/tmp\/bs y una puerta trasera basada en DNS (\/var\/tmp\/crond) que lanza un shell inverso a un servidor de comando y control (C2), que es recibido en respuesta a una solicitud de DNS a uno de los cuatro dominios –<\/p>\n “El protocolo de comunicaci\u00f3n es, dependiendo del tipo de conexi\u00f3n, SSL o TCP”, dijeron los investigadores. “En el caso de SSL, la puerta trasera crond inicia el ejecutable \/var\/tmp\/bs y delega todas las comunicaciones adicionales en \u00e9l. De lo contrario, la puerta trasera crond crea el shell inverso”.<\/p>\n El objetivo final del ataque es implementar un malware ladr\u00f3n y recopilar datos confidenciales del sistema. Luego, la informaci\u00f3n recopilada se carga en el servidor del atacante utilizando un binario de carga descargado del servidor C2.<\/p>\n crond, dijo Kaspersky, es una variante de una puerta trasera conocida como Bew que ha estado en circulaci\u00f3n<\/a> desde 2013<\/a>mientras que una versi\u00f3n temprana del malware ladr\u00f3n Bash fue previamente documentado<\/a> por Yoroi en junio de 2019.<\/p>\n La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna<\/p>\n <\/a><\/p>\n Sum\u00e9rgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qu\u00e9 la identidad es el nuevo punto final. Asegura tu lugar ahora.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\")
<\/a><\/center><\/section>\n\n