Nuevo Troyano en linux tiene como objetivo servidores

Los investigadores de seguridad en Dr.Web, el mes pasado revelaron detalles del Troyano Linux.Ekoms.1, que toma capturas de pantalla y graba audio para adquirir información sensible y personal, mayormente de servidores Linux.

El malware para Linux es cada vez más diverso e incluye spywares, ransomware y troyanos diseñados para llevar a cabo ataques distribuidos de denegación de servicio (DDoS), de acuerdo con Dr.Web. Los investigadores no evaluaron la gravedad de la amenaza una vez el malware infecta la computadora.

La publicación tampoco proporcionó detalles sobre el origen del malware o el alcance de su amenaza a los servidores u ordenadores de escritorio que ejecutan el sistema operativo de código abierto.

“El malware se centra en el seguimiento de lo que un usuario humano está haciendo, aunque la mayoría de los sistemas Linux son servidores. Por lo tanto, no siempre sera posible hacer capturas de pantalla y grabaciones de audio”, dijo Ben Johnson, jefe de estrategia de seguridad en Bit9+Carbon Black.

Detalles incompletos

Poco se sabe acerca del origen de Linux.Ekoms.1 o sus propósitos. El malware toma capturas de pantalla y puede grabar audio. Dichas grabaciones se guardan en formato de audio .aat del formato WAV. Sin embargo, esta característica no se utiliza en cualquier lugar, dijeron los investigadores Dr.Web.

“Se trata de un troyano, lo que significa que se disfraza de otra cosa. Un usuario puede se engañado para descarga este software, pensando que es para otro propósito, y posteriormente su máquina puede infectarse”, dijo Chenxi Wang, jefe de estrategia de Twistlock.

La principal amenaza del malware es la fuga de información y violación de la privacidad, que LinuxInsider. Su propósito podría centrarse en las actividades no implementadas aún completamente.

“A medida que el malware hace que las grabaciones del usuario y de todas las actividades por las capturas de pantalla, quien controla el malware conoce todos los movimientos de este, así como las aplicaciones que se ejecutan en la máquina”, dijo Wang.

Cómo funciona

Una vez iniciado el malware, Linux.Ekoms.1 busca una subcarpeta en el directorio de inicio del usuario con nombres especificados.

Busca los siguientes detalles:

  $ HOME/$DATA/.mozilla/firefox/profiled         

  $ HOME/$DATA/.dropbox/DropboxCache        

Donde $DATA = QStandardPaths::writableLocation(QStandardPaths::GenericDataLocation)”

Si no logra encontrar estos dos archivos, se elige al azar una subcarpeta para salvar su propia copia allí utilizando uno de esos dos nombres de archivo, de acuerdo con investigadores Dr.Web.

Entonces el troyano se inicia desde esa nueva ubicación. Si tiene éxito, el malware establece una conexión con un servidor. Hacia direcciones IP específicas en su código fuente.

Que hace??

El troyano toma una captura de pantalla cada 30 segundos y lo guarda en una carpeta temporal en formato JPEG. Si el archivo no se guarda, el troyano intenta guardarlo en el formato BMP. La carpeta temporal se envía al servidor en intervalos especificados.

Toda la información transmitida entre el servidor y Linux.Ekoms.1 está cifrada. El código del Troyano tiene la clave RSA que es utilizada para obtener la llaves de sesión AES.

El cifrado inicialmente se lleva a cabo usando la llave pública. El descifrado se ejecuta mediante la aplicación de la función RSA_public_decrypt a los datos recibidos.

Si tiene éxito, el malware establece una conexión con un servidor. Hacia direcciones IP específicas en su código fuente.

El Troyano intercambia datos con el servidor mediante AbNetworkMessage. La línea de identificación (id line) determina la acción ejecutada.

El troyano lanza los servicios EkomsAutorun. Guarda la siguiente información en el archivo $HOME/.config/autostart/%exename%.desktop:

[Desktop Entry]

Type = Aplicación

Name =% exename%

Exec =% pathtoexe%

Terminal = false

El incremento de ataques

Todos los sistemas informáticos de hoy en día están viendo un aumento en el malware. Sistemas operativos tipo Linux tienen una probabilidad más alta de ser servidores orientados a Internet y pueden tener datos lucrativos, según Johnson de Bit9+CarbonBlack.

Los malwares en Linux están ganando impulso a medida que las empresas adoptan cada vez más proyectos de código abierto. Más dispositivos de IoT (Internet de las cosas) se construyen basados en los sistemas Linux por lo que aumenta el riesgo de infección.

El crecimiento de Linux en la nube es también un factor fuerte que contribuye.

No es sorprendente que cada vez más los creadores de malware estén apuntando a la plataforma Linux“, dijo Wang.

La pregunta de Cuanto tiempo la seguridad de Linux se mantendrá en los niveles actuales Podría devaluarse, por lo que nuevas estrategias defensivas quizás sean necesarias.

“En términos generales, la comunidad de seguridad no se ha centrado primariamente en Linux”, dijo Johnson, ” por lo que no hay tantas defensas contra ataques.”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *