Comienza a ser algo habitual que hablemos de malware que afecta a los usuarios de distribuciones basadas en Linux. Sin ir más lejos, hace poco más de una semana informábamos de Ekocms, un virus que realizaba capturas de pantalla y grabaciones de audio. En esta ocasión, expertos en seguridad han detectado un troyano bautizado como Xunpes que se comporta como una puerta trasera.
Pero estas dos amenazas no han sido de las más sonadas, ya que este honor le corresponde a Linux.Encoder, un ransomware que cifraba los archivos contenidos en los discos duros y que en un principio afectó a servidores para posteriormente extenderse a usuarios particulares. Sin embargo, todos los afectados por este virus están de enhorabuena tal y como ya informamos, ya que expertos en seguridad han encontrado la forma de recuperar el acceso a los archivos: Desbloquear archivos afectados por Linux.Encoder ya es posible
Los expertos de Dr.Web han sido los encargados de descubrir y analizar esta amenaza que está compuesta de dos módulos: el primero de ellos escrito en Pascal se encarga de realizar la descarga del troyano. Mientras que el segunda es el malware que se comporta como si de una puerta trasera se tratase, escrita en lenguaje C.
Sobre cuál es la forma de distribuirse entre los usuarios, los ciberdelincuentes han utilizado cierta ingeniería social y han camuflado la amenaza entre el código de una aplicación que permite realizar pagos haciendo uso de Bitcoin. Aunque pueda parecer una novedad, los expertos de la firma de seguridad rusa afirman que el módulo que en esta ocasión facilita la llegada del troyano ya se ha utilizado en otras ocasiones.
Respecto a la amenaza, añaden que se trata de una bastante simple, pero que a pesar de todo posee cierta complejidad y permite la ejecución de un listado de comandos de forma remota.
Funciones del troyano Xunpes
Al ser una puerta trasera debe permitir acceder al sistema y realizar determinadas tareas. Además de crear y eliminar archivos o carpetas, el ciberdelincuente puede tomar capturas de pantalla, almacenar las pulsaciones de teclado, ejecutar comandos en la bash, abrir y cerra sockets o suspender la actividad de la amenaza.
estos son solo los más significativos pero en total existen 40 acciones que el troyano permite realizar de forma totalmente remota.
Expertos en seguridad creen que esta será la tendencia de este año y que los usuarios de las distribuciones Linux deberán hacer frente a una gran cantidad de amenazas.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
