25 de agosto de 2024Ravie LakshmananFraude financiero / CiberdelitoLos investigadores de ciberseguridad han descubierto un nuevo malware sigiloso para Linux que aprovecha una técnica poco convencional para lograr la persistencia en los sistemas infectados y ocultar el código de clonación de tarjetas de crédito. El malware, atribuido a un actor de amenazas con motivaciones económicas, ha sido bautizado como sedexp por el equipo de servicios de respuesta a incidentes Stroz Friedberg de Aon. «Esta amenaza avanzada, activa desde 2022, se oculta a simple vista al tiempo que proporciona a los atacantes capacidades de shell inverso y tácticas de ocultación avanzadas», dijeron los investigadores Zachary Reichert, Daniel Stein y Joshua Pivirotto. No es de extrañar que los actores maliciosos estén constantemente improvisando y refinando su oficio, y hayan recurrido a técnicas novedosas para evadir la detección. Lo que hace que sedexp sea digno de mención es su uso de reglas udev para mantener la persistencia. Udev, el sustituto del sistema de archivos de dispositivos, ofrece un mecanismo para identificar dispositivos en función de sus propiedades y configurar reglas para responder cuando se produce un cambio en el estado del dispositivo, es decir, cuando se conecta o se quita un dispositivo. Cada línea del archivo de reglas de udev tiene al menos un par clave-valor, lo que permite hacer coincidir dispositivos por nombre y activar determinadas acciones cuando se detectan varios eventos de dispositivo (por ejemplo, activar una copia de seguridad automática cuando se conecta una unidad externa). «Una regla de coincidencia puede especificar el nombre del nodo del dispositivo, agregar enlaces simbólicos que apunten al nodo o ejecutar un programa específico como parte del manejo de eventos», señala SUSE Linux en su documentación. «Si no se encuentra ninguna regla de coincidencia, se utiliza el nombre de nodo de dispositivo predeterminado para crear el nodo de dispositivo». La regla udev para sedexp — ACTION==»add», ENV{MAJOR}==»1″, ENV{MINOR}==»8″, RUN+=»asedexpb run:+» — está configurada de tal manera que el malware se ejecuta cada vez que se carga /dev/random (corresponde al número menor del dispositivo 8), lo que normalmente ocurre después de cada reinicio. Dicho de otra manera, el programa especificado en el parámetro RUN se ejecuta cada vez que se reinicia el sistema. El malware viene con capacidades para lanzar un shell inverso para facilitar el acceso remoto al host comprometido, así como para modificar la memoria para ocultar cualquier archivo que contenga la cadena «sedexp» de comandos como ls o find. Stroz Friedberg dijo que en los casos que investigó, la capacidad se ha utilizado para ocultar shells web, archivos de configuración de Apache alterados y la propia regla udev. «El malware se utilizó para ocultar el código de raspado de tarjetas de crédito en un servidor web, lo que indica un enfoque en el beneficio económico», dijeron los investigadores. «El descubrimiento de sedexp demuestra la creciente sofisticación de los actores de amenazas con motivaciones económicas más allá del ransomware». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.