Novo malware ataca sistemas Linux

Por Redação | 22 de Novembro de 2012 às 11h21

Um novo rootkit parece ter sido desenvolvido para infectar vítimas durante ataques drive-by download quando elas navegam em sites comprometidos. O malware, descoberto por pesquisadores em segurança, tem como alvo os usuários do Debian Squeezy, o mais recente kernel de 64 bits (2.6.32-5), e se camuflam no sistema para que não sejam facilmente encontrados. Saiu no TechWorld.

A confirmação do novo malware só foi efetivada após sua divulgação no Full Disclosure, em 13 de novembro, por um proprietário de site que estava irritado com o acontecido. A Kaspersky Lab e o CrowdStrike avaliaram o caso e descobriram que o malware está sendo distribuído a várias vítimas em potencial por meio de um ataque incomum de injeção de iFrame.

O rootkit foi apelidado de "Rootkit.Linux.Snakso.a" pela Kaspersky. Ele tenta se conectar a funções críticas do kernel do Linux e oculta seus rastros pelo sistema, até conseguir, por fim, comprometê-lo totalmente. Seu objetivo principal ainda é um mistério, mas o rootkit parece ainda estar em desenvolvimento.

Com um código fonte grande (500k), o malware também conta com um código de depuração, o que leva as empresas a classificarem-no como "em fase de produção". Segundo a CrowdStrike, o malware parece ter vindo da Rússia.

"Considerando que o malware foi usado para injetar iframes aleatoriamente em servidores de respostas nginx, parece provável que o rootkit seja parte de uma operação genérica cibercriminosa e não um ataque com alvo específico", observou a CrowdStrike. "No entanto, um ataque Waterhole, onde o site é amplamente visitado por um determinado público-alvo, também seria uma opção plausível."

O fato que preocupa os analistas é justamente um malware voltado para a plataforma Linux, que não registra fatos semelhantes de importância na história do sistema operacional. O último malware, o Wirenet, roubava senhas de navegadores e foi descoberto pela empresa russa Dr. Web. Outros ataques recentes estavam relacionados a malwares Java multiplataforma.

A Kaspersky Lab ressalta sua preocupação com os cibercriminosos. Pode ser que eles estejam realizando testes para desenvolver malwares mais nocivos em pouco tempo, uma vez que este rootkit, ainda em fase de desenvolvimento, mostra uma clara abordagem de esquema drive-by download.

Instagram do Canaltech

Acompanhe nossos bastidores e fique por dentro das novidades que estão por vir no CT.