Pesquisadores de cibersegurança revelaram detalhes de um novo backdoor para Linux chamado PamDOORa, anunciado no fórum russo de cibercrime Rehub por US$ 1.600 por um threat actor identificado como “darkworm”.
O backdoor foi projetado como uma ferramenta de pós-exploração baseada em Pluggable Authentication Module (PAM), capaz de manter acesso persistente via SSH por meio de uma combinação de senha mágica e uma porta TCP específica.
Ele também consegue capturar credenciais de todos os usuários legítimos que se autentiquem no sistema comprometido.
“A ferramenta, chamada PamDOORa, é um novo backdoor baseado em PAM, criado para atuar como backdoor de pós-exploração, permitindo autenticação em servidores via OpenSSH”, afirmou o pesquisador da Flare.io Assaf Morag em um relatório técnico.
“Segundo a divulgação, ele permaneceria persistente em sistemas Linux (x86_64).”
O PamDOORa é o segundo backdoor para Linux a mirar a pilha PAM, após o Plague.
O PAM é uma estrutura de segurança em sistemas Unix/Linux que permite aos administradores incorporar múltiplos mecanismos de autenticação ou atualizá-los, como a troca de senhas por biometria, em um sistema já existente por meio de módulos plugáveis, sem a necessidade de reescrever aplicativos.
Como os módulos PAM normalmente são executados com privilégios de root, um módulo comprometido, mal configurado ou malicioso pode introduzir riscos de segurança significativos e abrir caminho para a captura de credenciais e o acesso não autorizado.
“Apesar de seus pontos fortes, a modularidade do Pluggable Authentication Module (PAM) introduz riscos, já que modificações maliciosas nos módulos podem criar backdoors ou roubar credenciais de usuários, especialmente porque o PAM não armazena senhas, mas transmite valores em texto simples”, observou a Group-IB em setembro de 2024.
“O módulo pam_exec, que permite a execução de comandos externos, pode ser explorado por atacantes para obter acesso não autorizado ou estabelecer controle persistente por meio da injeção de scripts maliciosos em arquivos de configuração do PAM.”
A empresa de segurança de Singapura também detalhou como é possível manipular a configuração do PAM para autenticação via SSH e executar um script por meio do pam_exec, permitindo que um agente malicioso obtenha um shell privilegiado em um host e facilite uma persistência furtiva.
As descobertas mais recentes da Flare.io mostram que o PamDOORa, além de permitir o roubo de credenciais, incorpora recursos antiperícia para adulterar de forma sistemática os logs de autenticação e apagar vestígios da atividade maliciosa.
Embora não haja evidências de que o malware tenha sido usado em ataques reais, as cadeias de infecção que o distribuem provavelmente envolvem o adversário obtendo primeiro acesso root ao host por outros meios e, em seguida, implantando o módulo PAM do PamDOORa para capturar credenciais e estabelecer acesso persistente via SSH.
Após um preço inicial de US$ 1.600 em 17/03/2026, a persona “darkworm” reduziu o valor em quase 50%, para US$ 900, em 09/04, o que pode indicar falta de interesse de compradores ou a intenção de acelerar a venda.
“PamDOORa representa uma evolução em relação aos backdoors PAM de open source já existentes”, explicou Morag.
“Embora as técnicas individuais, como ganchos no PAM, captura de credenciais e adulteração de logs, já sejam bem documentadas, a integração em um implante coeso e modular, com antidebugging, gatilhos sensíveis à rede e uma cadeia de construção, o aproxima mais de uma ferramenta de nível operacional do que dos scripts rudimentares de prova de conceito encontrados na maioria dos repositórios públicos.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...