Saltar al contenido

3 nuevas amenazas para Linux descubiertas en 1 semana

En las dos últimas semanas se han juntado varios nuevos dolores de cabeza para los administradores de sistemas Linux o, al menos, cosas que conviene revisar por si estamos expuestos a estas vulnerabilidades o peligros.

Hablamos de 2 amenazas de tipo malware de reciente aparición, unidos a un nuevo ataque de criptomining. Todos ellos son capaces de afectar a sistemas basados en GNU/Linux, tradicionalmente un sistema considerado más seguro que Windows.

Posibles ataques a sistemas Linux

Lucifer (Monero botnet)

Empezando por el ataque de tipo criptominero (cryptominer) cuyo nombre es Lucifer, tenemos que se trata de una botnet híbrida con capacidades DDoS probadas, conocida por haber infectado en el pasado máquinas Windows para realizar minería de Monero (XMR).

Ahora, este ataque está buscando infectar sistemas Linux con bots de minado. Da igual si son servidores o clientes. La versión del malware Lucifer tiene las mismas capacidades ya vistas en la versión Windows, sumado adicionalmente que puede usarse en ataques de tipo HTTP.

FritzFrog

La siguiente amenaza se llama FritzFrog, se trata de otra botnet considerada como peligrosa y que ya estuvo haciendo de las suyas en sistemas del gobierno, de universidades o sector financiero.

Está escrito en lenguaje Golang y ensambla y ejecuta su payload dentro de la memoria. Es decir, es un malware fileless o sin archivos, lo que reduce sus trazas a la mínima expresión y dificulta el triage posterior. Cuando se ha instalado en su nuevo anfitrión, se comunica mediante un canal cifrado que le permite recibir más de 30 comandos.

Este malware se autoejecuta en varios hilos para así facilitar su replicación, despliegue y crecimiento. Es interesante el script que ha publicado Guardicore, ya que nos permite determinar si hemos sido infectados con FritzFrog.

Drovorub

Llegamos a la estrella de todos, Drovorub. Por si lo anteriormente comentado fuera poco, este conjunto de herramientas es capaz de implantar una backdoor o puerta trasera en un sistema Linux y, de esta forma, realizar acciones diversas:

  • Descargar o enviar ficheros
  • Ejecutar comandos como superusuario
  • Realizar reenvío de puertos al exterior (port forwarding)

En el documento publicado por la NSA (Agencia de Seguridad Nacional de EEUU) y el FBI, se avisa sobre este hasta la fecha desconocido malware, alegando que su origen es ruso y estaría tras él la unidad militar 26165 (GTsSS), conocida a veces en el sector privado como Fancy Bear, Strontium o APT28.

Más información

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: