Rootkit dirigido a plataformas Linux de 64 bits
Investigadores analizan un nuevo rootkit el cual creen que es uno de los últimos avances en desarrollo criminal para comprometer secretamente sitios web, con la finalidad de dirigir a los usuarios a la descarga de exploits.
Los detalles del rootkit fueron publicados anónimamente el pasado martes en la lista de distribución Full Disclosure, permitiendo a investigadores de seguridad de las firmas de seguridad CrowdStrike y Kaspersky Lab estudiar el malware.
El sujeto anónimo, quien ejecuta un servicio web, encontró el rootkit en el servidor de una compañía después de que sus clientes dijeron ser redirigidos a sitios maliciosos.
Georg Wicherski, investigador principal de seguridad de CrowdStrike, dijo que todavía no se sabe cómo el rootkit Linux de 64 bits accedió a los servidores de la víctima y cuántos otros pueden haber sido infectados.
Los investigadores dijeron que el rootkit no es particularmente complejo. Pero lo que lo hace fascinante es que se esconde en el nivel del kernel para infectar servidores web y las computadoras por medio de tácticas de perforación o infectando sitios alojados en un servidor HTTP comprometido.
Wicherski publicó un análisis del rootkit el lunes en el blog de CrowdStrike. “Es una pieza muy interesante de malware, ya que no se utiliza para infectar a una computadora de escritorio, si no a los servidores que alojan sitios Web”, dijo Wicherski.
El rootkit modifica la respuesta de las peticiones HTTP enviadas por el servidor web, utilizando un mecanismo de inyección de IFRAME, explicó. “ Internamente redirige el navegador del usuario visitante a otro sitio”, dijo Wicherski.
La información obtenida del servidor command-and-control (C&C), permitió a CrowdStrike determinar que el atacante se encontraba probablemente en Rusia.
Kaspersky también publicó un blog sobre el rootkit, reportando resultados similares. Marta Janus, investigadora de Kaspersky, dijo que el malware está dirigido a plataformas Linux de 64 bits y se esconde dentro del kernel, dando privilegios del sistema al rootkit.
La comunicación con su command-and-control se realiza usando una contraseña cifrada.
“Nos enfrentamos con algo más sofisticado, un componente binario en modo kernel que utiliza técnicas avanzadas de enganche para asegurar que el proceso de inyección sea más transparente y de menor nivel que antes”, escribió Janus.
“Este rootkit, aunque todavía se encuentra en fase de desarrollo, muestra un nuevo enfoque para el esquema de drive-descarga y sin duda, se pueden esperar más ejemplares de malware del mismo tipo en el futuro”.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.