HiddenWasp, un peligroso malware que afecta sistemas Linux

A pesar de que no son poco comunes, especialistas en seguridad en redes mencionan que los riesgos de seguridad presentes en sistemas Linux no son tratados de forma suficientemente amplia. Ya sea por su naturaleza poco ofensiva o porque los mecanismos de seguridad de estos sistemas los pasan por alto, estas amenazas de seguridad no reciben tanta difusión como las que impactan a los sistemas Windows.

No obstante, se ha vuelto algo común detectar malware con capacidades de evasión altamente desarrolladas utilizando código abierto ya existente presente en algunas implementaciones más allá de los sistemas Windows. La firma de seguridad en redes Intezer ha reportado recientemente el hallazgo de una nueva variante de malware conocida como HiddenWasp.

Acorde a los especialistas de la compañía, HiddenWasp es una amenaza de ciberseguridad que debe ser atendida pues, después de algunos análisis, se ha concluido que cuenta con una tasa de detección del 0% en los sistemas de detección de malware más utilizados en el mundo.

Acorde a los expertos en seguridad en redes, la infección del malware de Linux HiddenWasp requiere la ejecución de un script inicial. En la investigación, los expertos descubrieron que el script se vale de un usuario llamado ‘sftp’ con una contraseña bastante segura; además, el script limpia el sistema para deshacerse de versiones anteriores del malware en caso de que una infección se hubiera presentado anteriormente.

Posteriormente, se descarga un archivo en la máquina comprometida desde el servidor que contiene todos los componentes, incluyendo el troyano y el rootkit. El script también agrega un binario troyano en la ubicación /etc/rc.local para funcionar incluso después de hacer reboot en el sistema. 

Los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) han encontrado diversas similitudes entre el rootkit de HiddenWasp y el del malware Azazel, además de compartir algunos fragmentos de cadena con el malware ChinaZ y el de la botnet Mirai. “Gracias a HiddenWasp, los hackers pueden ejecutar comandos en el terminal de Linux, ejecutar archivos, descargar scripts adicionales, y más”, agregan los expertos. 

A pesar de que la investigación logró algunos hallazgos, los expertos aún desconocen el vector de ataque empleado por los hackers para infectar los sistemas Linux, aunque una versión posible es que los atacantes hayan desplegado el malware desde algunos sistemas que ya se encontraban bajo su control. “HiddenWasp podría tratarse de una segunda etapa de ataque”, concluyeron los expertos.

(Visited 1,014,1 times)