Noticias sobre ciberseguridad, hackeos, hacking y malware
Noticias sobre ciberseguridad, hackeos, hacking y malware
  • Autor de la entrada:
  • Tiempo de lectura:2 minutos de lectura

Investigadores de ciberseguridad de AT&T han descubierto una pieza furtiva de malware que se dirige a terminales Linux y dispositivos IoT con la esperanza de obtener acceso persistente y convertir a las víctimas en drones de criptominería.

El malware fue apodado “Shikitega” por su amplio uso del popular codificador polimórfico Shikata Ga Nai permite que el malware transforme su código para evitar ser detectado. Shikitega altera su código cada vez que se ejecuta a través de uno de los varios bucles de decodificación comenzando con un archivo ELF de solo 370 bytes.

Shikitega también descarga Mettle, un intérprete de Metasploit que brinda al atacante la capacidad de controlar cámaras web conectadas e incluye un sniffer, múltiples shells inversos, control de procesos, ejecución de comandos de shell y capacidades adicionales para controlar el sistema afectado.

AT&T habla de la explotación de dos vulnerabilidades de Linux reveladas en 2021 para lograr su objetivo final, que según AT&T parece ser la instalación y ejecución del minero de criptomonedas XMRig.

La etapa final también establece la persistencia, lo que hace Shikitega al descargar y ejecutar cinco scripts de shell que configuran un par de trabajos cron para el usuario actual y un par para el usuario raíz mediante crontab que también puede instalar si no está disponible.

Shikitega también usa soluciones de alojamiento en la nube para almacenar partes de su carga útil, que luego usa para ofuscarse contactando a través de la dirección IP en lugar del nombre de dominio. “Sin [un] nombre de dominio, es difícil proporcionar una lista completa de indicadores para las detecciones, ya que son volátiles y se utilizarán con fines legítimos en un corto período de tiempo”, dijo AT&T.

En pocas palabras: Shikitega es un código desagradable. AT&T recomienda que los administradores de dispositivos IoT y terminales de Linux mantengan instalados los parches de seguridad, mantengan el software EDR actualizado y realicen copias de seguridad periódicas de los sistemas esenciales.

Comparte tu opinión