Pesquisadores de segurança cibernética identificaram um novo malware furtivo direcionado a sistemas operacionais Linux, que utiliza uma técnica inovadora para obter persistência em sistemas infectados e ocultar o código de um skimmer de cartão de crédito.
Batizado de "sedexp" pela equipe de serviços de resposta a incidentes da Stroz Friedberg, uma divisão da Aon, o malware foi atribuído a um grupo de ameaças com motivações financeiras.
“Essa ameaça avançada, ativa desde 2022, esconde-se à vista de todos, fornecendo aos invasores recursos de shell reverso e empregando táticas avançadas de ocultação”, explicaram os pesquisadores Zachary Reichert, Daniel Stein e Joshua Pivirotto.
Não é surpreendente que agentes mal-intencionados continuem a evoluir e aperfeiçoar suas táticas, recorrendo a novas técnicas para evitar a detecção.
O que torna o sedexp particularmente notável é seu uso de regras do udev para manter a persistência. O udev, substituto do Device File System, oferece um mecanismo para identificar dispositivos com base em suas propriedades e configurar regras para responder a mudanças no estado desses dispositivos, como quando um dispositivo é conectado ou removido.
Cada linha no arquivo de regras do udev contém pelo menos um par chave-valor, o que permite a correspondência de dispositivos por nome e o acionamento de ações específicas quando certos eventos de dispositivo são detectados (por exemplo, iniciar um backup automático quando um dispositivo de armazenamento externo é conectado).
“Uma regra de correspondência pode especificar o nome do nó do dispositivo, adicionar links simbólicos apontando para o nó ou executar um programa especificado como parte do tratamento de eventos”, observa a documentação do SUSE Linux. “Se nenhuma regra correspondente for encontrada, o nome padrão do nó do dispositivo será usado para criar o nó do dispositivo.”
A regra udev do sedexp -- ACTION==“add”, ENV{MAJOR}==“1”, ENV{MINOR}==“8”, RUN+=“asedexpb run:+” -- foi configurada para garantir que o malware seja executado sempre que o dispositivo /dev/random (associado ao número menor 8) for carregado, o que geralmente ocorre a cada reinicialização do sistema.
Em outras palavras, o programa especificado no parâmetro RUN é ativado após cada reinicialização do sistema.
O sedexp possui funcionalidades que permitem iniciar um shell reverso para facilitar o acesso remoto ao sistema comprometido, além de modificar a memória para ocultar qualquer arquivo que contenha a string “sedexp” de comandos como ls ou find.
Segundo a Stroz Friedberg, nas investigações conduzidas, o malware foi utilizado para ocultar shells web, arquivos de configuração do Apache modificados, e até mesmo a própria regra do udev.
“O sedexp foi empregado para esconder código de raspagem de cartão de crédito em um servidor web, indicando um claro foco em ganhos financeiros”, afirmaram os pesquisadores. “A descoberta do sedexp demonstra a sofisticação crescente de agentes de ameaças motivados financeiramente, indo além do uso de ransomware.”
Via - THN
Comments