Programadores de software estão na mira de uma nova ameaça informática. Conhecido como Quasar Linux (QLNX), este implante recém-descoberto combina capacidades de rootkit, portas traseiras e roubo de credenciais para infetar sistemas de desenvolvimento. Segundo a análise avançada pela BleepingComputer, o objetivo final foca-se na execução de ataques à cadeia de fornecimento, comprometendo plataformas vitais como o GitHub, npm, PyPI, AWS, Docker e Kubernetes.
Uma ferramenta de ataque invisível e persistente
A empresa de cibersegurança Trend Micro detalhou as capacidades desta ameaça, destacando o seu design focado na invisibilidade a longo prazo. O QLNX opera inteiramente na memória do sistema, apaga o ficheiro original do disco, limpa os registos de atividade, falsifica o nome dos processos e limpa variáveis de ambiente para dificultar a análise forense. Para garantir que permanece ativo, o implante utiliza sete mecanismos de persistência diferentes, assegurando que se recarrega em todos os processos dinâmicos mesmo que seja interrompido.
Além da evasão básica, a ameaça compila módulos de forma dinâmica diretamente no computador da vítima, utilizando o compilador gcc para instalar elementos de controlo profundos e portas traseiras na infraestrutura do sistema operativo Linux.
Módulos complexos e dificuldade de deteção
O poder deste kit reside na sua estrutura dividida em blocos funcionais. O núcleo de controlo remoto inclui uma grelha de 58 comandos que oferecem acesso interativo e gestão total do sistema e da rede. A camada de roubo de credenciais recolhe chaves SSH, informações de navegadores e configurações da nuvem, enquanto o módulo de vigilância regista o que é digitado no teclado, capta imagens do ecrã e monitoriza a área de transferência.
O nível de perigo sobe substancialmente devido à sua enorme taxa de sucesso a contornar antivírus, uma vez que apenas quatro soluções de segurança no mercado conseguem atualmente identificar a ameaça como maliciosa. Ao focar os ataques nas estações de trabalho de quem programa, os piratas informáticos conseguem contornar as habituais defesas empresariais e apoderar-se das ferramentas centrais de entrega de software. A Trend Micro já partilhou os indicadores de comprometimento para ajudar as organizações a identificar e bloquear estas infeções antes que o estrago se propague.
Nenhum comentário
Seja o primeiro!