Llamado HiddenWasp, este malware se compone de un rootkit en modo de usuario, un troyano y un script de implementación inicial.
A diferencia de otros programas maliciosos que se ejecutan en Linux, el código y la evidencia recopilada muestran que las computadoras infectadas ya han sido comprometidas por estos mismos hackers.
La ejecución de HiddenWasp sería, por lo tanto, una fase avanzada en la cadena de destrucción de esta amenaza.
Aunque el artículo dice que no sabemos cuántas computadoras se infectaron o cómo se realizaron los pasos anteriores, se debe tener en cuenta que la mayoría de los programas del tipo de “Backdoor” se instalan al hacer clic en un objeto. (enlace, imagen o archivo ejecutable), sin que el usuario se dé cuenta de que es una amenaza.
La ingeniería social, que es una forma de ataque utilizada por los troyanos para engañar a las víctimas para que instalen paquetes de software como HiddenWasp en sus computadoras o dispositivos móviles, podría ser la técnica adoptada por estos atacantes para alcanzar sus objetivos.
En su estrategia de escape y disuasión, el kit utiliza un script bash acompañado de un archivo binario. Según los investigadores de Intezer, los archivos descargados de Total Virus tienen una ruta que contiene el nombre de una sociedad forense con sede en China.
Sobre HiddenWasp
El malware HiddenWasp está compuesto por tres componentes peligrosos, como Rootkit, Trojan y un script malicioso.
Los siguientes sistemas están trabajando como parte de la amenaza.
- Manipulación local del sistema de archivos: el motor se puede usar para cargar todo tipo de archivos a los hosts de la víctima o secuestrar cualquier información del usuario, incluida la información personal y del sistema. Esto es particularmente preocupante, ya que puede usarse para llevar a delitos como el robo financiero y el robo de identidad.
- Ejecución de comandos: el motor principal puede iniciar automáticamente todo tipo de comandos, incluidos los que tienen permisos de raíz, si se incluye dicha omisión de seguridad.
- Entrega de carga útil adicional: las infecciones creadas se pueden usar para instalar y lanzar otro malware, incluido el ransomware y los servidores de criptomoneda.
- Operaciones de troyanos: el malware HiddenWasp Linux se puede usar para tomar el control de las computadoras afectadas.
Además, el malware se alojaría en servidores de una empresa de alojamiento de servidores físicos llamada Think Dream ubicada en Hong Kong.
“El malware de Linux aún desconocido para otras plataformas podría crear nuevos desafíos para la comunidad de seguridad”, escribió el investigador Intezer, Ignacio Sanmillan, en su artículo
“El hecho de que este programa malintencionado logre permanecer bajo el radar debe ser una alerta para que el sector de la seguridad dedique más esfuerzos o recursos para detectar estas amenazas”, dijo.
Otros expertos también comentaron al respecto, Tom Hegel, investigador de seguridad de AT&T Alien Labs:
“Hay muchas incógnitas, ya que las piezas de este kit de herramientas tienen algunos solapamientos de código / reutilización con varias herramientas de código abierto. Sin embargo, sobre la base de un gran patrón de superposición y diseño de infraestructura, además de su uso en objetivos, evaluamos con gran confianza la asociación a Winnti Umbrella “.
Tim Erlin , vicepresidente, gestión de productos y estrategia en Tripwire:
“HiddenWasp no es único en su tecnología, aparte de estar dirigido a Linux. Si está monitoreando sus sistemas Linux para detectar cambios en archivos críticos, o para que aparezcan nuevos archivos, o para otros cambios sospechosos, es probable que se identifique el malware como HiddenWasp”
¿Como saber mi sistema está comprometido?
Para verificar si su sistema está infectado, pueden buscar archivos “ld.so”. Si alguno de los archivos no contiene la cadena ‘/etc/ld.so.preload’, su sistema puede verse comprometido.
Esto se debe a que el implante de troyano intentará parchear instancias de ld.so para aplicar el mecanismo LD_PRELOAD desde ubicaciones arbitrarias.