El malware Kobalos Linux roba credenciales SSH

malware

Un nuevo programa de puerta trasera se ha dirigido a supercomputadoras de todo el mundo, que utiliza un software OpenSSH con troyanos para robar credenciales para conexiones de red seguras

El malware no afecta ampliamente a todo tipo de equipos informáticos y se dirige principalmente a la informática de alto rendimiento (HPC) y a los servidores de las redes académicas y de investigación.

Los investigadores de seguridad de la compañía de seguridad ESET descubrieron el malware y lo nombraron en honor a la criatura Kobalos en la mitología griega a la que le gusta engañar y amenazar a los mortales.

ESET declaró que el malware Kobalos tiene una base de código pequeña pero muy compleja que se puede ejecutar en plataformas Linux y UNIX. Durante el análisis, ESET también descubrió que el programa malicioso también puede tener variantes en los sistemas operativos AIX y Windows.

Después de crear una huella digital para el malware, ESET ejecuta un escaneo de todo Internet para encontrar usuarios amenazados por Kobalos. Descubrieron que muchos de los infectados eran supercomputadoras y servidores en campos académicos y de investigación. Otros afectados incluyen un proveedor de seguridad de software en América del Norte, un gran ISP asiático, agencias de marketing y proveedores de servicios administrados.

Sin embargo, estos sistemas afectados por malware tienen una característica común, es decir, están ejecutando software y sistemas operativos antiguos, sin soporte o sin parches, por lo que son más vulnerables.

Aunque los investigadores pasaron varios meses analizando el malware, debido a los comandos comunes contenidos y sin una carga útil específica, aún no han podido determinar su propósito exacto. Y a medida que la investigación se profundizó, también descubrieron que Kobalos ha estado activo en ataques a supercomputadoras desde fines de 2019. Pero hasta ahora, no ha habido ningún intento de extraer moneda digital o ejecutar tareas computacionalmente intensivas.

Kobalos proporciona acceso remoto al sistema de archivos, puede generar una sesión de terminal, lo que permite a un atacante ejecutar comandos arbitrarios. Los investigadores creen que el acto de robar credenciales puede explicar cómo el malware se propaga a otros sistemas en la misma red. Porque los estudiantes e investigadores de múltiples universidades generalmente pueden acceder a grupos de supercomputadoras a través de SSH.

Kobalos es muy ligero. La muestra de 32/64 bits tiene un tamaño de solo 24 KB, pero es un malware complejo con tecnología de ofuscación personalizada y anti-forense, que impide que las instituciones de investigación la analicen. El volumen es rico en funciones.

Una característica interesante que hace que Kobalos se destaque es que su código está empaquetado en una función y solo tiene una llamada al código OpenSSH legítimo. Sin embargo, tiene un flujo de control no lineal que llama a esta función de forma recursiva para realizar subtareas, se soportan un total de 37 operaciones, una de las cuales puede convertir cualquier máquina infectada en un servidor de comando y control (C2) para otras máquinas.

ESET ha notificado a todas las empresas o instituciones afectadas por Kobalos y ESET trabajará con ellas para identificar y resolver el problema.

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Semrush sigue a tu competencia

Fecha actualización el 2021-02-08. Fecha publicación el 2021-02-08. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: meterpreter