Investigadores han descubierto una pieza avanzada de malware de Linux que ha sido ignorada por los productos antivirus y al parecer se utiliza activamente en ataques dirigidos.
HiddenWasp, como se ha denominado al malware, es una suite de malware completamente desarrollada que incluye un troyano, un rootkit y un script de despliegue inicial, según informaron investigadores de la firma de seguridad Intezer.
En el momento en que se puso en marcha el post de Intezer, el servicio de malware de VirusTotal indicaba que HiddenWasp no era detectado por ninguno de los 59 motores antivirus que rastrea, aunque algunos ya han comenzado a marcarlo. Las marcas de tiempo en uno de los 10 archivos analizados por Intezer indicaban que fue creado el mes pasado. El servidor de comando y control al que se reportan las computadoras infectadas seguía siendo operativo en el momento en que se preparaba este artículo.
Algunas de las pruebas analizadas -incluido el código que muestra que los ordenadores que infecta ya están comprometidos por los mismos atacantes- indicaban que es probable que HiddenWasp sea una etapa posterior de malware que se sirve a objetivos de interés que ya han sido infectados en una etapa anterior. No está claro cuántos equipos han sido infectados ni cómo se instalan las etapas previas. Con la capacidad de descargar y ejecutar código, subir archivos y ejecutar una variedad de otros comandos, el propósito del malware parece ser el control remoto de los ordenadores que infecta. Esto es diferente de la mayoría del malware de Linux, que existe para realizar ataques de denegación de servicio o minar criptomonedas.
Llamada de atención
“El malware de Linux puede introducir nuevos retos para la comunidad de seguridad que aún no hemos visto en otras plataformas”, escribió el investigador de Intezer Ignacio Sanmillan en un post. “El hecho de que este malware se las arregle para no ser detectado debería ser una llamada de atención para que la industria de la seguridad dedique mayores esfuerzos o recursos a la detección de estas amenazas”.
Parte del código parece haber sido tomado de Mirai, el malware de la Internet de las cosas cuyo código fuente se hizo público en 2016. Otro código tiene similitudes con otros proyectos establecidos o malware, incluyendo el rootkit de Azazel, el implante de Elknot de ChinaZ, y la variante de Linux recientemente descubierta de Winnti, una familia de malware que previamente se había visto que atacaba sólo a Windows.
En un correo electrónico, Silas Cutler, ingeniero jefe de ingeniería inversa de Chronicle, la empresa de seguridad propiedad de Alphabet que descubrió la variante de Winnti Linux, escribió:
Lo realmente interesante del caso es que muchas de las herramientas para Linux son bastante rudimentarias. Incluso en el caso de Winnti-Linux, era un port de la variante Windows. Tomar prestado código de proyectos de código abierto como Azazel-y (ahora) Mirai es interesante porque …. puede ser para disfrazar a los analistas de malware/mislead.
La mayoría del malware de Linux está, como dijo Intezer, enfocado en DDoS o minería. Esta variante de malware que se centra en el control directo de los protagonistas es única. La intención de este malware …. es realmente interesante en comparación con la mayoría de las cosas *nix. Los desarrolladores están] utilizando un rootkit de código abierto para facilitar ese acceso.
El componente de rootkit, Azazel, es realmente sólo para operaciones de camuflaje. Mientras que los enlaces de Azazel y Mirai se centraban en el informe, se encontraron elementos de ChinaZ, lo que me hace pensar que los actores estaban experimentando con la combinación de varios conjuntos de herramientas.
El ordenador que subió por primera vez uno de los archivos de HiddenWasp a VirusTotal utilizó la ruta que contenía el nombre de una empresa forense con sede en China conocida como Shen Zhou Wang Yun Information Technology Co. Los operadores también alquilaron servidores a la empresa de alojamiento de servidores ThinkDream, con sede en Hong Kong, para alojar su malware.
Uno de los archivos subidos a VirusTotal, un script bash que parece haber sido utilizado con fines de prueba, llevó a los investigadores de Intezer a un archivo diferente. El nuevo archivo incluye el nombre de usuario y la contraseña de las cuentas que parecen haber sido agregadas para dar acceso persistente a los atacantes. Esta evidencia llevó a Intezer a creer que el malware se instala en equipos que los atacantes ya han comprometido. Es común que el malware avanzado se presente en dos o más etapas en un intento por evitar que se detecten infecciones y evitar daños involuntarios.
Desde que el post del miércoles se puso en marcha, las tasas de detección AV han crecido, pero en el momento en que se publicó este artículo, las tasas seguían siendo bajas. Dependiendo del archivo que se analizara, las tasas oscilaban entre dos y 13, de un total de 59 motores AV monitoreados.
Los enlaces de VirusTotal son:
- https://www.virustotal.com/#/file/e9e2e84ed423bfc8e82eb434cede5c9568ab44e7af410a85e5d5eb24b1e622e3/detection
- https://www.virustotal.com/#/file/f321685342fa373c33eb9479176a086a1c56c90a1826a0aef3450809ffc01e5d/detection
- https://www.virustotal.com/#/file/d66bbbccd19587e67632585d0ac944e34e4d5fa2b9f3bb3f900f517c7bbf518b/detection
- https://www.virustotal.com/#/file/0fe1248ecab199bee383cef69f2de77d33b269ad1664127b366a4e745b1199c8/detection
- https://www.virustotal.com/#/file/2ea291aeb0905c31716fe5e39ff111724a3c461e3029830d2bfa77c1b3656fc0/detection
- https://www.virustotal.com/#/file/d596acc70426a16760a2b2cc78ca2cc65c5a23bb79316627c0b2e16489bf86c0/detection
- https://www.virustotal.com/#/file/609bbf4ccc2cb0fcbe0d5891eea7d97a05a0b29431c468bf3badd83fc4414578/detection
- https://www.virustotal.com/#/file/8e3b92e49447a67ed32b3afadbc24c51975ff22acbd0cf8090b078c0a4a7b53d/detection
- https://www.virustotal.com/#/file/f38ab11c28e944536e00ca14954df5f4d08c1222811fef49baded5009bbbc9a2/detection
- https://www.virustotal.com/#/file/8914fd1cfade5059e626be90f18972ec963bbed75101c7fbf4a88a6da2bc671b/detection
El investigador de Chronicle Brandon Levene descubrió este archivo adicional.
El post enumera los medidas que la gente puede utilizar para comprobar si sus equipos han sido infectados. Un indicio revelador: “ld.so” que no contienen la cadena “/etc/ld.so.preload.”
Este es el resultado del troyano HiddenWasp intentando parchear instancias de ld.so para reforzar el mecanismo LD_PRELOAD desde ubicaciones aleatorias.
