Investigadores de seguridad cibernética han presentado un nuevo programa de puerta trasera que puede robar credenciales de usuario, información de dispositivos y ejecutar comandos arbitrarios en sistemas Linux.

El cuentagotas de malware se llamaba «Facefish“Del equipo de Qihoo 360 NETLAB, gracias a su capacidad para entregar diferentes rootkits en diferentes momentos y usar el cifrado Blowfish para cifrar la comunicación con un servidor controlado por un atacante.

«Facefish consta de 2 partes, Dropper y Rootkit, y su función principal está determinada por el módulo Rootkit, que funciona en la capa Ring 3 y se carga utilizando la función LD_PRELOAD para robar credenciales de usuario conectando funciones relacionadas con ssh / sshd, y también admite algunas funciones de la puerta trasera «, dijeron los científicos.

La investigación de NETLAB se basa en un análisis anterior publicado por Juniper Networks el 26 de abril, que documentó una cadena de ataques dirigidos al Control Web Panel (CWP, anteriormente CentOS Web Panel) para introducir un implante SSH con capacidades de filtrado de datos.

Facefish pasa por un proceso de infección de varias fases que comienza inyectando un comando anti-CWP para cargar un cuentagotas («sshins») desde un servidor remoto, que luego libera un rootkit, que finalmente recupera y recopila información confidencial. (C2).

Si bien la vulnerabilidad exacta que el atacante explotó para comprometer inicialmente sigue sin estar clara, Juniper señaló que el CWP estaba plagado de docenas de problemas de seguridad, agregando «cifrado deliberado y oscureciendo» el código fuente que hizo «difícil determinar qué versiones del CWP eran o permanecería vulnerable al ataque». «

En cuanto al cuentagotas, viene con su propio conjunto de tareas, incluida la detección del entorno de tiempo de ejecución, el descifrado del archivo de configuración para obtener información de C2, la configuración del rootkit y la ejecución del rootkit insertándolo en el proceso del servidor de shell seguro (sshd).

Los rootkits son especialmente peligrosos porque permiten a los atacantes obtener privilegios elevados en el sistema, lo que les permite interferir con las operaciones básicas realizadas por el sistema operativo base. Esta capacidad de los rootkits para disfrazarse en la estructura del sistema operativo brinda a los atacantes un alto nivel de secreto y escape.

Facefish también utiliza un protocolo de comunicación integral y un algoritmo de cifrado que utiliza instrucciones que comienzan con 0x2XX para intercambiar claves públicas y BlowFish para cifrar los datos de comunicación con el servidor C2. Algunos de los comandos C2 enviados por el servidor son los siguientes:

• 0x300 – Informar información sobre datos de inicio de sesión robados
• 0x301: recopila detalles sobre el comando «uname».
• 0x302 – Ejecutar el shell inverso
• 0x310 – Ejecuta cualquier comando del sistema
• 0x311 – Envía el resultado de realizar un bash
• 0x312 – Informar información del host

Los hallazgos de NETLAB provienen de un análisis de un archivo ELF de muestra que detectó en febrero de 2021. Los indicadores adicionales de compromiso relacionados con el malware están disponibles aquí.