Los investigadores de Symantec han detectado una operación de los ciberdelincuentes que se basa en una nueva puerta trasera (backdoor) de Linux, llamada Linux.Fokirtor, para robar datos sin ser detectados.
Un ataque en el cual los hackers aprovecharon la puerta trasera de Linux fue lanzado en mayo de 2013 contra un gran proveedor de alojamiento web. Los ciberdelincuentes obtuvieron acceso a nombres de usuario, contraseñas, direcciones de correo electrónico y posiblemente incluso información financiera.
El tráfico o los archivos sospechosos habrían dado lugar inmediatamente a una revisión de seguridad, así que los atacantes han desarrollado una puerta trasera de Linux que se esconde en procesos como Secure Shell (SSH).
En lugar de abrir sockets de red o comunicarse con servidores de comando y control (C&C), la amenaza se inyecta en un proceso y monitoriza el tráfico para ciertas secuencias de caracteres. Cuando se detecta el patrón ":!;." (sin comillas), el backdoor empieza a extraer comandos codificados.
Los comandos son cifrados con Blowfish y codificados en Base64.
“Luego, el atacante podría realizar solicitudes de conexión normales a través de SSH u otros protocolos y simplemente insertar esta secuencia secreta dentro del tráfico legítimo para evitar la detección. Después de la ejecución de los comandos, el resultado es enviado al atacante", explican los expertos en un blog.
Linux.Fokirtor es capaz de cifrar datos robados usando Blowfish y enviarlos a los ciberdelincuentes; recopilar información como el nombre de host, dirección IP, puerto, nombre de usuario y contraseña desde las conexiones SSH; y ejecutar varios comandos preconfigurados o enviados por el atacante.
Para identificar esta particular puerta trasera, se recomienda que las organizaciones monitoricen su tráfico para identificar la cadena ":!;.". También hay una lista de cadenas en el volcado de procesos SSHD que pueden utilizarse para detectar el malware. Los expertos señalan que los registros de SSH no contienen la cadena ":!;.".
Symantec dice que esta es la primera vez cuando ha analizado tal malware de Linux. Detalles técnicos adicionales sobre esta amenaza están disponibles en el blog de la compañía.
http://news.softpedia.es/Los-ciberdelincuentes-utilizan-un-nuevo-backdoor-de-Linux-para-robar-informacion-de-distintas-companias-400225.html