En múltiples ocasiones se ha aclarado que la inexistencia de virus para Linux es un mito. Más bien, la generación de malware se focaliza en las plataformas que más concentran usuarios.
Linux tiene fuerte presencia en la gestión de dispositivos del Internet de las Cosas. Aprovechando esta realidad, fue creado un malware que se centra en estos dispositivos, vulnerando las medidas de seguridad implementadas, para inyectar líneas de comandos que activan un sistema de minado de criptomonedas.
Shikitega, un sofisticado y sigiloso malware para Linux
Investigadores de la división de ciberseguridad de AT&T, dieron a conocer un nuevo malware sigiloso de Linux, denominado Shikitega, que infecta ordenadores y dispositivos IoT sin ser detectado por antivirus.
El malware explota las vulnerabilidades para elevar sus privilegios, habilitando un minero de la criptomoneda Monero en los dispositivos infectados.
Si bien el método de infección inicial no se conoce en este momento, los investigadores de AT&T que descubrieron Shikitega dicen que el malware utiliza una cadena de infección de varios pasos, en la que cada capa entrega solo unos pocos cientos de bytes, activa un módulo simple y luego pasa al siguiente. Cada módulo es responsable de una tarea específica, desde descargar y ejecutar el software malicioso, explotar vulnerabilidades de Linux, configurar la persistencia en la máquina infectada, hasta descargar y ejecutar un criptominero.
«El malware Shiketega se entrega de una manera sofisticada, utiliza un codificador polimórfico y entrega gradualmente su carga útil donde cada paso revela solo una parte de la carga útil total», explica el informe de AT&T.
Quienes liberan estas herramientas de ataque, se encuentran en la constante búsqueda de nuevas formas de distribución de su malware en nuevas formas para evitar su detección. El malware Shiketega se entrega de una manera sofisticada, no sólo en cuanto al despliegue de su código en los dispositivos atacados. Además, este malware abusa de los servicios de almacenamiento conocidos para alojar sus servidores de mando y control. En el informe de AT&T, por ejemplo, se reportó una detección de este virus proveniente de un servidor de la nube de Microsoft, enrutado a través de Cloudflare.
Reportes complementarios al de AT&T, como lo compartido por Ars Technica, dejan entrever que el objetivo de este malware no está claro del todo. Si bien, se probó su uso para el minado de criptomonedas, el informe señala también que las capacidades de este virus incluyen el control de la cámara web, robo de credenciales y múltiples shells inversos en un paquete que se ejecuta en todo, desde «los objetivos Linux integrados más pequeños hasta los grandes».