Aunque no es muy habitual, empieza a ser costumbre hablar de amenazas que afectan a los sistemas que utilizan Linux. En esta ocasión, han sido los expertos en seguridad de la empresa Dr.Web los que se han percatado de la existencia de un troyano bautizado con el nombre de Ekocms que realiza capturas de pantalla y graba audios utilizando los recursos del equipo.
Se trata de la última amenaza disponible para a familia de distribuciones después de que el pasado mes de noviembre expertos en seguridad detectasen el primer ransomware que en un primer momento centró su atención sobre todo en los servidores y los datos contenidos en estos, sobre todo las bases de datos. Pasadas varias semanas el número de equipos infectados seguía creciendo y esta ya infectaba incluso a equipos particulares.
Sin embargo, por suerte para los usuarios y administradores los investigadores de Bitdefender consiguieron desarrollar una herramienta que permitía la recuperación dela información afectada por el cifrado:
Desbloquear archivos afectados por Linux.Encoder ya es posible
De acuerdo con los expertos en seguridad de la firma de seguridad Dr.Web, este troyano pertenece a una familia de spywares que tiene su origen en Windows y cuya principal finalidad es nada más y nada menos que tomar capturas de pantalla cada 30 segundos. Es bastante habitual ver como los ciberdelincuentes utilizan las amenazas diseñadas para los sistemas operativos de los de Redmond y las reutilizan para que sirvan para Android, iOS o en este caso las distribuciones Linux.
Los expertos han indicado que se puede saber si un equipo está afectado o no por este malware acudiendo a las próximas ubicaciones:
- $HOME/$DATA/.mozilla/firefox/profiled
- $HOME/$DATA/.dropbox/DropboxCache
Si en alguna de ellas existen capturas de pantalla quiere decir que el equipo está afectado.
Añaden que por defecto el software espía trata de almacenar las capturas en formato JPEG, utilizando un nombre genérico y la hora junto con la fecha del día en el que se ha tomado. Si existe algún problema a la hora de guardar la captura entonces utilizará el formato BPM.
Ekocms envía las capturas a un servidor remoto
Era de esperar que la realización de capturas tuviese alguna finalidad. De forma periódica la amenaza se pone en contacto con un servidor remoto a través de un proxy cuya dirección IP se encuentra en el código fuente de la amenaza. Seguro que a más de uno sorprende que no hayamos citado nada sobre la grabación de audio. La realidad es que está función está implementada pero durante el funcionamiento normal del troyano no entra en funcionamiento.
Desde la compañía de seguridad tampoco han sabido responder aún sobre cuál es la vía o vías que el malware utiliza para distribuirse entre los usuarios.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
