Los investigadores de ciberseguridad han marcado una puerta trasera de Linux previamente indocumentada doblada Plaga Eso ha logrado evadir la detección durante un año.
«El implante se construye como una PAM maliciosa (módulo de autenticación conectable), lo que permite a los atacantes pasar por alto silenciosamente la autenticación del sistema y obtener acceso persistente de SSH», dijo el investigador de sistemas de Nextron Pierre-Henri Pezier.
Los módulos de autenticación conectables se refieren a un conjunto de bibliotecas compartidas utilizadas para administrar la autenticación de los usuarios a aplicaciones y servicios en sistemas basados en Linux y UNIX.
Dado que los módulos PAM se cargan en procesos de autenticación privilegiados, una PAM deshonesta puede habilitar el robo de credenciales de los usuarios, omitir las verificaciones de autenticación y permanecer sin ser detectado por las herramientas de seguridad.
La compañía de ciberseguridad dijo que descubrió múltiples artefactos de peste cargados a Virustotal desde el 29 de julio de 2024, sin ninguno de ellos detectados por motores de antimalware como maliciosos. Además, la presencia de varias muestras indica el desarrollo activo del malware por los actores de amenaza desconocidos detrás de él.
La plaga se jacta de cuatro características destacadas: credenciales estáticas para permitir el acceso encubierto, el análisis de resistencia y la ingeniería inversa utilizando anti-fugación y ofuscación de cadenas; y mejorado sigiloso borrando la evidencia de una sesión de SSH.
Esto, a su vez, se logra mediante variables de entorno injusticias como SSH_Connection y SSH_Client usando Unsetenv, y redirigiendo la histfile a /dev /null para evitar el registro del comando de la concha, para evitar dejar una ruta de auditoría.
«Plague se integra profundamente en la pila de autenticación, sobrevive a las actualizaciones del sistema y casi no deja rastros forenses», señaló Pezier. «Combinado con la ofuscación en capas y la manipulación del entorno, esto hace que sea excepcionalmente difícil detectar el uso de herramientas tradicionales».
