De entrada ya advertimos que la amenaza no es tan peligrosa como parece ser, aunque nunca se sabe, y es mejor extremar las precauciones. Expertos en seguridad han descubierto una puerta trasera que se conoce con el nombre de Xudp y que se distribuye haciendo uso de otra amenaza de la que ya hemos hablando anteriormente: Linux.Downloader.
En esta ocasión el usuario no sufrirá la infección de scripts y tampoco ataques de fuerza bruta para conseguir el control del equipo. El escenario con el que nos podemos encontrar es muy sencillo, siendo necesario solo que el usuario descargue un paquete infectado con un malware para que todo el proceso comience. Pero tal y como hemos dicho, no resulta una amenaza peligrosa a no ser que el usuario decida durante el proceso de instalación dar permisos de administrador, algo que puede suceder, ya que es bastante común que el usuario acepte todo lo que se ofrece a través de la pantalla y ni siquiera se preocupe de detener y leerlo detenidamente. Ocurre en Android y evidentemente el ecosistema Linux no iba a ser una excepción.
El malware utilizado para la llegada de la puerta trasera que nos ocupa es un conocido por todos los usuarios. Linux.Downloader se trata de una pasarela para de esta forma facilitar la llegada de la amenaza de Xudp. Sin embargo, la próxima descarga aún no será esta, sino una versión mejorada del primero que permitirá la llegada de la amenaza. La puerta trasera se instalará en las carpetas /lib/.socket1 o /lib/.loves del sistema operativo.
Al disponer de permisos de administrador, la amenaza será libre de llevar a cabo una limpieza de todas las reglas configuradas en iptables, permitiendo de esta forma total control sobre las comunicaciones y enviar según la convenga.
Xudp utiliza cifrado para comunicarse con el servidor
Cuando Xudp se ha instalado de forma correcta y ha completado las tareas descritas con anterioridad, la amenaza puente se desactiva y se pasa a ejecutar en segundo plano la puerta trasera, recopilando en primer lugar información del equipo infectado, para enviarla posteriormente a un servidor de control remoto. Sin embargo, a diferencia de otras donde los propietarios no han dedicado demasiado tiempo a este proceso, los ciberdelincuentes al cargo de esta han procedido al envío de esta información de forma cifrada.
A pesar de todo la primera tentativa se manda sin cifrar, pero se trata solo de un ping para comprobar que existe conectividad.
Expertos en seguridad detallan que esta amenaza se puede utilizar para ejecutar comandos de forma remota en el equipo o hacer que este se comporte como un bot y lanzar tráfico en ataques de denegación de servicio.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
