Recientemente, la comunidad que confía en la seguridad y estabilidad de Linux se enfrenta a un nuevo desafío: un malware desconocido ha sido identificado, poniendo en alerta a usuarios y expertos en seguridad informática. Este evento subraya la continua batalla contra las amenazas cibernéticas, incluso en sistemas considerados altamente seguros. En este artículo, exploramos la naturaleza de este malware emergente, cómo compromete la integridad de Linux y las medidas que podemos adoptar para fortalecernos frente a tales vulnerabilidades.
Estar en la cima como uno de los sistemas operativos más cruciales del mundo no viene sin sus contratiempos. Linux, una vez más, se ha encontrado en la mira de un malware que ha permanecido activo durante al menos dos años, revelando los riesgos inherentes a su popularidad.
El protagonista de este incidente es el troyano de acceso remoto NerbianRAT, identificado por primera vez en 2022 por la firma de ciberseguridad Proofpoint. Este malware se especializa en el robo de credenciales, infiltrándose en los sistemas mediante el aprovechamiento de fallos de seguridad recientemente corregidos.
Magnet Goblin, así denominado por Checkpoint en su blog, ha demostrado ser uno de los actores más ágiles en explotar estas vulnerabilidades. Tan solo un día después de que se publicara un exploit de concepto, ya tenían listo el malware para hacer uso de él.
El descubrimiento de este malware dirigido a Linux se realizó por Checkpoint mientras investigaban ataques que explotaban fallos críticos en Ivanti Secure Connect, ataques que han sido particularmente intensos desde inicios de enero. Durante su investigación sobre Ivanti, se toparon con la versión Linux de NerbianRAT en servidores que habían caído bajo el dominio de Magnet Goblin.
Es importante señalar que Magnet Goblin, que previamente no había sido bautizado, ha estado aprovechando vulnerabilidades conocidas como de "un solo día" o "1-day" en plataformas de comercio electrónico como Magento, en herramientas de análisis de datos como Qlik Sense y en Apache ActiveMQ.
Al explotar una vulnerabilidad en un dispositivo que opera con Windows, Magnet Goblin ejecuta una herramienta de gestión y monitoreo remoto (RMM), como ScreenConnect de ConnectWise o AnyDesk.
Este tipo de malware presenta una alta probabilidad de pasar desapercibido, dado que se dirige a dispositivos periféricos. Los atacantes aplican ingeniería inversa a las actualizaciones de seguridad o replican las vulnerabilidades demostradas en los exploits de concepto en dispositivos que aún no han sido actualizados con los parches de seguridad correspondientes.
Conoce más sobre: ¿Qué es un Ataque de Exploit?
Se ha descubierto MiniNerbian, una variante más sencilla del malware NerbianRAT específicamente diseñada para sistemas Linux. Este malware menor ha logrado infiltrarse a través de vulnerabilidades en servidores que alojan el sistema de comercio electrónico Magento.
Una distinción notable entre MiniNerbian y su predecesor NerbianRAT radica en su método de comunicación: MiniNerbian se comunica a través de HTTP, transmitiendo datos mediante solicitudes POST hacia /dashboard/endpoint. En contraste, NerbianRAT prefiere el uso de sockets sin procesar para el envío de información.
En su arsenal, Magnet Goblin no solo desplegó NerbianRAT sino que también introdujo una versión modificada de otro malware, conocido como WarpWire, recientemente identificado por la firma de seguridad Mandiant. La versión específica de WarpWire que Checkpoint encontró se dedicaba al robo de credenciales de VPN, las cuales eran enviadas a un servidor bajo el dominio miltonhouse[.]nl.
Checkpoint destaca que, a diferencia de la contraparte para Windows, la versión de Linux de este software malicioso carece significativamente de medidas de protección. Se ha compilado de manera descuidada, incluyendo información de depuración DWARF. Esto proporciona a los investigadores la capacidad de acceder a detalles como los nombres de funciones y variables globales, facilitando su análisis.
MiniNerbian, aunque se basa en gran medida en el mismo código fuente que NerbianRAT, se presenta como un malware distinto, no simplemente como una versión reducida de NerbianRAT con funcionalidades eliminadas.
Te podrá interesar: Eliminar Malware en Windows: 6 Métodos Efectivos
La detección y mitigación de este tipo de malware requiere un enfoque multidimensional. Aquí algunas medidas recomendadas:
Te podrá interesar leer: Backup as a Service (BaaS): Protección en Entornos Virtuales
El descubrimiento de este nuevo malware dirigido a sistemas Linux resalta la constante evolución de las amenazas cibernéticas y la necesidad de estar siempre alerta. Mientras que la comunidad de seguridad trabaja en entender y contrarrestar esta nueva amenaza, es esencial que los individuos y las organizaciones tomen medidas proactivas para proteger sus sistemas y datos. Recordemos que en el mundo de la ciberseguridad, la prevención es siempre la mejor estrategia.