• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / OrBit, un malware para robar información en Linux

OrBit, un malware para robar información en Linux

11 julio, 2022 Por Javier Aranda Deja un comentario

Se ha descubierto un nuevo malware para Linux, llamado OrBit, con capacidad de robar información e infectar los procesos de un equipo.

Bajo el nombre de OrBit, este malware detectado por los investigadores de Intezer Labs secuestra las bibliotecas compartidas para interceptar las llamadas a funciones modificando la variable de entorno LD_PRELOAD en los dispositivos comprometidos. Su nombre proviene de uno de los nombres de fichero utilizado para almacenar de forma temporal la salida de los comandos ejecutados ("/tmp/.orbit").

Lo que hace que este malware sea especialmente interesante es el hooking casi hermético de las bibliotecas en la máquina de la víctima, que permite al malware ganar persistencia y evadir la detección mientras roba información y establece una puerta trasera SSH.

Nicole Fishbein, analista de malware de Intezer

En primera instancia, los motores de búsqueda no percibían el malware, aunque algunos proveedores han actualizado sus productos para poder detectarlo.

Muestra inicial del dropper en VirusTotal. MD5 67048a69a007c37f8be5d01a95f6a026

Los métodos de persistencia de OrBit son los siguientes:

  • Añadir el objeto compartido al archivo de configuración que utiliza el loader.
  • Parcheando el binario del propio loader para que cargue el objeto malicioso compartido.

Un dropper ELF es el responsable de extraer la payload ("libdl.so") y añadirla a las bibliotecas compartidas cargadas por el enlace dinámico. La biblioteca compartida falsa está diseñada para hacer hooking a libc, libcap y PAM (Pluggable Authentication Module), haciendo que los procesos tanto existentes como nuevos utilicen las funciones modificadas. Esto es lo que permite recopilar credenciales, ocultar la actividad de red y configurar una puerta trasera mediante SSH sin ser detectado.

El auge del malware en sistemas Linux, con casos como OrBit y otras amenazas similares como Symbiote, BPFDoor, HiddenWasp o Syslogk ponen de manifiesto la necesidad de securización de estos entornos.

Más información:
OrBit: New Undetected Linux Threat Uses Unique Hijack of Execution Flow
Researchers Warn of New OrBit Linux Malware That Hijacks Execution Flow
New stealthy OrBit malware steals data from Linux devices

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Relatos para hackear el tiempo

Las tiras de Cálico

Publicado en: Malware Etiquetado como: linux, malware, pam

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Cisco afectada por ransomware Yanluowang
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...