Linux en español
HiddenWasp
Noticias

HiddenWasp: malware que afecta a sistemas Linux

4 minutos de lectura

Hace algunos días investigadores de seguridad han descubrieron una nueva variedad de malware de Linux que parece haber sido creado por piratas informáticos chinos y se ha utilizado como un medio para controlar de forma remota los sistemas infectados.

Llamado HiddenWasp, este malware se compone de un rootkit en modo de usuario, un troyano y un script de implementación inicial.

HIT Closer

A diferencia de otros programas maliciosos que se ejecutan en Linux, el código y la evidencia recopilada muestran que las computadoras infectadas ya han sido comprometidas por estos mismos hackers.

La ejecución de HiddenWasp sería, por lo tanto, una fase avanzada en la cadena de destrucción de esta amenaza.

Aunque el artículo dice que no sabemos cuántas computadoras se infectaron o cómo se realizaron los pasos anteriores, se debe tener en cuenta que la mayoría de los programas del tipo de “Backdoor” se instalan al hacer clic en un objeto. (enlace, imagen o archivo ejecutable), sin que el usuario se dé cuenta de que es una amenaza.

La ingeniería social, que es una forma de ataque utilizada por los troyanos para engañar a las víctimas para que instalen paquetes de software como HiddenWasp en sus computadoras o dispositivos móviles, podría ser la técnica adoptada por estos atacantes para alcanzar sus objetivos.

En su estrategia de escape y disuasión, el kit utiliza un script bash acompañado de un archivo binario. Según los investigadores de Intezer, los archivos descargados de Total Virus tienen una ruta que contiene el nombre de una sociedad forense con sede en China.

Sobre HiddenWasp

El malware HiddenWasp está compuesto por tres componentes peligrosos, como Rootkit, Trojan y un script malicioso.

Los siguientes sistemas están trabajando como parte de la amenaza.

  • Manipulación local del sistema de archivos: el motor se puede usar para cargar todo tipo de archivos a los hosts de la víctima o secuestrar cualquier información del usuario, incluida la información personal y del sistema. Esto es particularmente preocupante, ya que puede usarse para llevar a delitos como el robo financiero y el robo de identidad.
  • Ejecución de comandos: el motor principal puede iniciar automáticamente todo tipo de comandos, incluidos los que tienen permisos de raíz, si se incluye dicha omisión de seguridad.
  • Entrega de carga útil adicional: las infecciones creadas se pueden usar para instalar y lanzar otro malware, incluido el ransomware y los servidores de criptomoneda.
  • Operaciones de troyanos: el malware HiddenWasp Linux se puede usar para tomar el control de las computadoras afectadas.

Además, el malware se alojaría en servidores de una empresa de alojamiento de servidores físicos llamada Think Dream ubicada en Hong Kong.

“El malware de Linux aún desconocido para otras plataformas podría crear nuevos desafíos para la comunidad de seguridad”, escribió el investigador Intezer, Ignacio Sanmillan, en su artículo

“El hecho de que este programa malintencionado logre permanecer bajo el radar debe ser una alerta para que el sector de la seguridad dedique más esfuerzos o recursos para detectar estas amenazas”, dijo.

Otros expertos también comentaron al respecto, Tom Hegel, investigador de seguridad de AT&T Alien Labs:

“Hay muchas incógnitas, ya que las piezas de este kit de herramientas tienen algunos solapamientos de código / reutilización con varias herramientas de código abierto. Sin embargo, sobre la base de un gran patrón de superposición y diseño de infraestructura, además de su uso en objetivos, evaluamos con gran confianza la asociación a Winnti Umbrella “.

Tim Erlin , vicepresidente, gestión de productos y estrategia en Tripwire:

“HiddenWasp no es único en su tecnología, aparte de estar dirigido a Linux. Si está monitoreando sus sistemas Linux para detectar cambios en archivos críticos, o para que aparezcan nuevos archivos, o para otros cambios sospechosos, es probable que se identifique el malware como HiddenWasp”

¿Como saber mi sistema está comprometido?

Para verificar si su sistema está infectado, pueden buscar archivos “ld.so”. Si alguno de los archivos no contiene la cadena ‘/etc/ld.so.preload’, su sistema puede verse comprometido.

Esto se debe a que el implante de troyano intentará parchear instancias de ld.so para aplicar el mecanismo LD_PRELOAD desde ubicaciones arbitrarias.

Valorar post

Entradas relaccionadas

Cinnamon 6.2 sustituye la gestión de cuentas online y mejora el soporte de Flatpak

Redacción

LXQt 1.4: última versión del escritorio ligero basada en Qt5

Redacción

OBS Studio 30 mejora la interfaz y el soporte de FFmpeg e incluye Intel QSV

Redacción

OpenSSH 8.2 lanzado con soporte de hardware de autenticación de dos factores

Linux en Español

GIMP 2.10.38, «posiblemente la última» versión estable GIMP 2

Redacción

Kodi 21: la nueva versión del centro multimedia mejora la estabilidad, el rendimiento y la seguridad

Redacción

Este sitio web utiliza cookies para mejorar su experiencia. Asumiremos que está de acuerdo con esto, pero puede optar por no participar si lo desea. Aceptar Leer más

Política de privacidad y cookies