Foi descoberto um novo e sofisticado malware para Linux que tem conseguido evitar a deteção durante mais de um ano, permitindo que os atacantes obtenham acesso persistente via SSH e contornem a autenticação em sistemas comprometidos.
O que é o "Plague" e como atua?
Identificado por investigadores de segurança da Nextron Systems, que o apelidaram de "Plague" (Praga), este malware funciona como um Módulo de Autenticação Conectável (PAM) malicioso. A sua principal função é integrar-se profundamente no sistema para garantir acesso secreto e duradouro aos atacantes, utilizando para isso passwords pré-definidas no seu código.
Um fantasma no sistema: as técnicas de ocultação
O que torna o "Plague" especialmente perigoso é a sua capacidade de se ocultar de forma exímia. Utiliza múltiplas camadas de ofuscação e técnicas de anti-análise para frustrar qualquer tentativa de engenharia reversa por parte dos especialistas em segurança.
Mais alarmante ainda é a sua habilidade para apagar os vestígios da atividade do atacante. Uma vez ativo, o malware elimina quaisquer artefactos da sessão que possam denunciar a intrusão. Para isso, limpa variáveis de ambiente relacionadas com o SSH (como SSH_CONNECTION e SSH_CLIENT) e redireciona o histórico de comandos para /dev/null, impedindo que qualquer registo da atividade seja guardado. Na prática, o rasto digital do atacante é completamente apagado dos logs do sistema.
A ameaça silenciosa que escapou aos antivírus
A sofisticação do "Plague" é tal que, apesar de múltiplas variantes do backdoor terem sido enviadas para a plataforma VirusTotal ao longo do último ano, nenhum dos motores de antivírus as assinalou como maliciosas. Este facto sugere que os criadores do malware têm operado de forma contínua e sem serem detetados por um longo período, com artefactos de compilação a indicar um desenvolvimento ativo em diferentes distribuições de Linux.
A visão dos especialistas
Pierre-Henri Pezier, investigador de ameaças na Nextron Systems, descreve o "Plague" como uma ameaça excecionalmente difícil de detetar com as ferramentas tradicionais. "O 'Plague' integra-se profundamente na estrutura de autenticação, sobrevive a atualizações do sistema e não deixa quase nenhuns vestígios forenses", afirma Pezier. "A sua utilização de ofuscação avançada, credenciais estáticas e manipulação do ambiente torna-o particularmente difícil de detetar com métodos convencionais."
Esta não é a primeira vez que a Nextron Systems descobre malware a explorar a flexibilidade da infraestrutura PAM do Linux. Em maio, a empresa já tinha identificado outro software malicioso que utilizava mecanismos semelhantes para roubar credenciais e obter persistência nos dispositivos infetados.
Nenhum comentário
Seja o primeiro!