Pesquisadores de cibersegurança identificaram um backdoor no Linux, até então não documentado, apelidado de Plague, que conseguiu evitar detecção por um ano.
"O implant foi construído como um PAM malicioso (Pluggable Authentication Module), permitindo que atacantes burlassem silenciosamente a autenticação do sistema e ganhassem acesso persistente ao SSH," disse o pesquisador da Nextron Systems, Pierre-Henri Pezier.
Pluggable Authentication Modules refere-se a um conjunto de bibliotecas compartilhadas usadas para gerenciar a autenticação de usuários em aplicações e serviços em sistemas baseados em Linux e UNIX.
Dado que os módulos PAM são carregados em processos de autenticação privilegiados, um PAM mal-intencionado pode permitir o roubo de credenciais de usuários, burlar verificações de autenticação e permanecer não detectado por ferramentas de segurança.
A empresa de cibersegurança disse que descobriu múltiplos artefatos do Plague enviados para o VirusTotal desde 29 de julho de 2022, sem que nenhum deles fosse detectado pelos motores antimalware como maliciosos.
Além disso, a presença de várias amostras indica o desenvolvimento ativo do malware pelos atores de ameaças desconhecidos por trás dele.
Plague ostenta quatro características proeminentes: Credenciais estáticas para permitir acesso encoberto, resistir a análises e engenharia reversa usando anti-debugging e ofuscação de strings; e stealth aprimorado ao apagar evidências de uma sessão SSH.
Isso, por sua vez, é realizado desconfigurando variáveis de ambiente como SSH_CONNECTION e SSH_CLIENT usando unsetenv, e redirecionando HISTFILE para /dev/null para evitar o registro de comandos shell, com o objetivo de não deixar um rastro de auditoria.
"Plague se integra profundamente na pilha de autenticação, sobrevive a atualizações do sistema e deixa quase nenhum vestígio forense," observou Pezier.
"Combinado com a ofuscação em camadas e a manipulação do ambiente, isso o torna excepcionalmente difícil de ser detectado usando ferramentas tradicionais."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...