Investigadores de seguridad de AT&T Alien Labs han revelado que piratas informáticos pertenecientes a TeamTNT utilizan una herramienta de código abierto que evade la detección de malware en Linux. Asimismo, indican que este software malicioso apunta a “la infraestructura de Docker expuesta para fines de minería de criptomonedas y robo de credenciales”.
TeamTNT viene utilizando “un nuevo cargador de memoria basado en Ezuri y escrito en GOlang”. Sin embargo, ahora ha añadido otra herramienta a su lista de capacidades, según informa AT&T Alien Labs
El informe señala que la herramienta utilizada para esquivar la seguridad de Linux es conocida como libprocesshide, y que además está ubicada en Github. Su función es “ocultar un proceso en Linux usando el precargador ld”.
Los expertos comentan que libprocesshide es una técnica de evasión bastante efectiva, porque oculta el proceso malicioso de los programas de información en los archivos ps y lsof.
¿Cómo se comporta este malware de Linux?
El software malicioso, una vez dentro del sistema, se ejecuta desde un script bash “codificado en base64 oculto en el binario o ircbot cryptominer TeamTNT”. Básicamente lo que esta herramienta hace es ocultarse en el disco, descomprimir el script, y sobrescribirlo sobre “/usr/local/lib/systemhealt.so”, para luego agregarlo mediante ‘”etc/ld.so.preload”.
Vía: AT&T Alien Labs
En palabras más sencillas, esta herramienta le dará potestad al atacante para anular algunas funciones comunes, así como:
- Modificar la configuración de DNS de la red.
- Establecer la persistencia a través de systemd.
- Soltar y activar la nueva herramienta como servicio.
- Descargar la última configuración del bot de IRC.
- Complicar acciones de los defensores.
En efecto, le permite al grupo de ciberdelincuentes de TeamTNT expandir sus capacidades con base a herramientas de código abierto disponibles en Github. Este software malicioso de Linux basado en libprocesshider es de sumo cuidado, puesto que no solo se usa para evadir la detección malware, también se puede utilizar a nivel del host.
