Los investigadores de seguridad han advertido sobre la aparición de una nueva cepa de virus para Linux, “HiddenWasp”, diseñado para controlar de forma remota los equipos de sus víctimas. La amenaza ha llamado la atención por lograr atacar con éxito al sistema operativo Linux, que es un blanco inusual de ataques maliciosos de estas características.
HiddenWasp está compuesto por fragmentos de códigos de diferentes programas maliciosos de código abierto, como Mirai y Azazel. Hidden Wasp utiliza métodos novedosos para esconderse: sus ataques se componen de un rootkit que esconde un troyano y un script de despliegue. “No es común ver rootkits que se desplieguen junto a un simple malware para Linux”, opinó Nacho Sanmillan, investigador de seguridad de Intezer.
“El componente de rootkit, Azazel, en realidad sólo se utiliza para esconder las operaciones. Aunque el informe profundiza sobre los vínculos con Azazel y Mirai, también se encontraron elementos de ChinaZ, lo que me hace pensar que los involucrados estuvieron experimentando con la combinación de varios tipos de herramientas”, explicó Silas Cutler, de la compañía de seguridad Chronicle.
Los ataques que buscan tomar el control de los equipos de sus víctimas también son inusuales en el mundo del malware para Linux, ya que “la mayoría de malware para Linux está diseñado para realizar ataques que tienen relación con el Internet de las Cosas, robots DDoS y minería de monedas criptográficas”.
Las marcas de tiempo en los 10 archivos que Intezer analizó indican que el programa fue creado el mes pasado y sus características indican que fue diseñado para ejecutar una segunda parte de un ataque. Es decir, que los equipos afectados ya deberían estar comprometidos con otro programa malicioso para que los ataques de HiddenWasp surtan efecto. Aun se desconoce cuál sería esta primera parte del ataque y qué programas estarían involucrados, se cree que forma parte de una operación de malware dirigido a víctimas específicas.
La amenaza es tan rara que hasta la comunidad de seguridad informática tardó en detectarla. Cuando Nacho Sanmillan publicó su investigación, ninguno de los antivirus de VirusTotal tenían registrado el programa en su base de datos. Sin embargo, unas pocas soluciones antivirus, entre ellas Kaspersky Antivirus, sí detectaron la amenaza gracias a su análisis heurístico que permite deducir las intenciones de un programa en base a su comportamiento, aunque aún no esté registrado en su base de datos.
“El malware para Linux podría presentar nuevos retos para la comunidad de seguridad, desafíos que aún no hemos enfrentado en otras plataformas”, indicó Sanmillan. “El hecho de que este malware sea capaz de mantener el perfil bajo debería ser un llamado de atención para que la industria de seguridad invierta más esfuerzo y recursos para la detección de estas amenazas”.
Fuentes
New Linux Malware ‘HiddenWasp’ Borrows from Mirai, Azazel • ThreatPost
HiddenWasp Malware Stings Targeted Linux Systems • Intezer
Advanced Linux backdoor found in the wild escaped AV detection • Ars Technica
Expertos alertan sobre HiddenWasp: el inusual malware para Linux compuesto por Azazel y Mirai