Um implante para Linux até então não documentado, chamado Quasar Linux (QLNX), está mirando sistemas de desenvolvedores com uma combinação de recursos de rootkit, backdoor e roubo de credenciais.
O pacote de malware vem sendo distribuído em ambientes de desenvolvimento e DevOps, incluindo npm, PyPI, GitHub, AWS, Docker e Kubernetes.
Isso pode abrir caminho para ataques à supply chain, nos quais o threat actor publica pacotes maliciosos em plataformas de distribuição de código.
Pesquisadores da empresa de cibersegurança Trend Micro analisaram o implante QLNX e constataram que ele “compila dinamicamente arquivos de objeto compartilhados de rootkit e módulos de backdoor PAM no host-alvo usando gcc [GNU Compiler Collection]”.
Em um relatório divulgado nesta semana, a empresa afirmou que o QLNX foi projetado para furtividade e persistência de longo prazo.
Para isso, ele opera na memória, apaga o binário original do disco, limpa logs, falsifica nomes de processos e remove variáveis de ambiente usadas em análises forenses.
O malware emprega sete mecanismos distintos de persistência, incluindo LD_PRELOAD, systemd, crontab, scripts init.d, inicialização automática via XDG e injeção em .bashrc.
Com isso, ele garante carregamento em todo processo dinamicamente vinculado e consegue se restaurar caso seja encerrado.
O QLNX reúne vários blocos funcionais dedicados a tarefas específicas, o que o transforma em uma ferramenta de ataque completa.
Seus principais componentes podem ser resumidos assim:
Core de RAT: componente central de controle, construído em torno de uma estrutura com 58 comandos, que oferece acesso interativo ao shell, gerenciamento de arquivos e processos, controle do sistema e operações de rede, mantendo comunicação persistente com o C2 por canais TCP/TLS ou HTTP/S personalizados.
Rootkit: mecanismo de furtividade em duas camadas, que combina um rootkit em espaço de usuário baseado em LD_PRELOAD e um componente eBPF em nível de kernel.
A camada de usuário intercepta funções da libc para ocultar arquivos, processos e artefatos do malware, enquanto a camada eBPF esconde PIDs, caminhos de arquivo e portas de rede no kernel.
As duas camadas são implantadas dinamicamente, e o rootkit em espaço de usuário é compilado no próprio sistema alvo.
Camada de acesso a credenciais: combina a coleta de credenciais, como chaves SSH, dados de navegadores, configurações de cloud e de desenvolvedores, /etc/shadow e conteúdo da área de transferência, com backdoors baseados em PAM que interceptam e registram dados de autenticação em texto claro.
Módulo de vigilância: inclui keylogging, captura de tela e monitoramento da área de transferência.
Rede e movimento lateral: oferece tunelamento TCP, proxy SOCKS, varredura de portas, movimento lateral com SSH e rede malha ponto a ponto.
Mecanismo de execução e injeção: realiza injeção de processos por ptrace e /proc/pid/mem, além de execução em memória de payloads, como objetos compartilhados e BOF/COFF.
Monitoramento do sistema de arquivos: acompanha em tempo real a atividade de arquivos por meio de inotify.
Após o acesso inicial, o QLNX estabelece uma presença sem arquivos, implanta mecanismos de persistência e furtividade e, em seguida, coleta credenciais de desenvolvedores e de cloud.
Ao mirar estações de trabalho de desenvolvedores, os atacantes conseguem contornar controles de segurança corporativos e acessar as credenciais que sustentam as pipelines de entrega de software.
A estratégia lembra incidentes recentes de supply chain em que credenciais roubadas de desenvolvedores foram usadas para publicar pacotes trojanizados em repositórios públicos.
A Trend Micro não informou detalhes sobre ataques específicos nem atribuiu o QLNX a qualquer grupo, o que deixa incerto o volume de implantação e o nível de atividade desse novo malware.
No momento da publicação, o implante Quasar Linux é detectado por apenas quatro soluções de segurança, que classificam seu binário como malicioso.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...