Linux.Ellipsis.1 y Linux.Ellipsis.2, dos malware que utilizan los equipos Linux para crackear cuentas SSH

Share this…

No suele ser habitual, pero en esta ocasión por partida doble expertos en seguridad han detectado la presencia de dos malware que están afectando a dispositivos con sistema operativo Linux. Conocidos como Linux.Ellipsis.1Linux.Ellipsis.2, estos virus informáticos crean un proxy para realizar ataques de fuerza bruta y crackear cuentas SSH.

Según se ha podido saber el origen de estas dos piezas se encuentra en Rusia y ambas van de la mano. Es decir, que en primer lugar lleva una al equipo para realizar determinadas tareas y posteriormente se lleva a cabo la descarga de la segunda para complementar las funciones de la primera.

Linux.Ellipsis.1 y Linux.Ellipsis.2, dos malware que utilizan los equipos Linux para crackear cuentas SSH

En el caso de Linux.Ellipsis.1, una vez se ha instalado de forma correcta elimina su directorio y modifica iptables para que desaparezcan todas las reglas. Una vez ha completado estas acciones realiza un bloqueo de los procesos que permiten realizar el análisis del tráfico de red en las diferentes interfaces, garantizando de esta forma que el usuario no pueda llevar a cabo una investigación del tráfico de red generado.

Por último, este lleva a cabo la modificación del sistema de logs del sistema dejándolo totalmente inoperable para evitar que el usuario pueda ver por ejemplo qué procesos se encuentran en ejecución.

Finalidad de Linux.Ellipsis.1 y Linux.Ellipsis.2: realizar ataques de fuerza bruta

Toas las acciones descritas con anterioridad tienen una única finalidad: realizar ataques de fuerza bruta contra cuentas SSH. Para esto el malware establece un servidor proxy por el que se hace pasar todo el tráfico, siendo este el motivo por el que los ciberdelincuentes se toman tantas molestias en deshabilitar el sistema de logs y aquellos que permiten analizar el tráfico de red. Una vez que esto se ha realizado comienza a interactuar con el servidor de control ubicado en Rusia.

Una de las acciones a realizar es descargar el segundo virus informático que está relacionado con el aprovechamiento de los recursos hardware del equipo. Esto quiere decir que el ordenador se utilizará para realizar ataques de fuerza bruta contra cuentas SSH, tratando de averiguar cuál es la contraseña y así ganar acceso a la misma.

Para llevar a cabo esta operación, los ciberdelinbcuentes han llevado a cabo un diccionario con aquellos nombres de usuario y contraseñas más comunes, llegando al equipo de la mano de esta segunda pieza malware.

Síntomas que se pueden percibir

Para saber si nuestro equipo está infectado en primer lugar hay que saber cuáles son las vías de difusión que poseen estas piezas. Tal y como han concretado algunos expertos del sector, páginas web están distribuyendo aplicaciones que están infectadas, por lo que hay que tener mucho cuidado con los sitios web desde donde se descarga el software.

Para concretar si nuestro equipo está infectado o no hay que fijarse en si la utilidad de registro del sistema funciona y si el ordenador muestra lentitud a la hora de abrir carpetas o aplicaciones de ofimática, algo que no debería suponer un problema normalmente. Conviene prestar también atención a la monitorización de la CPU, ya que un uso alto durante un periodo prolongado puede ser resultado de la presencia de estas amenazas en el equipo.

Fuente:https://www.redeszone.net/