Miles de ordenadores linux se han infectado de malware silencioso en los últimos 3 años

cuñado de bar

cuñado de bar

Hablando sin tener ni idea
Desde
14 May 2022
Mensajes
7.473
Reputación
29.309
Sistema operativo Debian
Un bichito informático diseñado para ser indetectable ha infectado a miles de dispositivos Linux desde 2023, según investigadores de la empresa de ciberseguridad Aqua Security.
Este malware, de la familia «stealth» (malwares silenciosos o invisibles) se aprovecha de más de 20.000 fallos comunes de configuración, además de vulnerabilidades, para instalarse en PCs que luego usa para minar criptomonedas o para redirigir tráfico, entre otros fines.
La gran cantidad de vulnerabilidades que es capaz de usar hace que el pool de víctimas potenciales alcance los millones, aunque solo cifran en miles los ordenadores infectados hasta este momento. Desde Aqua Security, destacan la habilidad de este bichito para permanecer escondido durante largo tiempo en los PCs infectados, configurado con dicho objetivo en mente, que lograba de muy diversas formas. Entre ellas:
  • Usar nombres de archivo que los hacen pasar por archivos del sistema
  • Instalar algunos de sus archivos como rootkits, de forma que pasan desapercibidos por las herramientas de administración del sistema
  • Detener actividades que sean fáciles de detectar cuando un usuario inicia sesión
  • Usar un socket Unix sobre TOR para las comunicaciones externas
  • Eliminar su binario de instalación al terminarla y ejecutarse en segundo plano a partir de entonces
  • Manipular el proceso Linux pcap_loop a través de la técnica conocida como hooking, para evitar que las herramientas de administración registren el tráfico malicioso
  • Suprimir mensajes de error para evitar cualquier mensaje pop up que extrañe al usuario
Han apodado al malware como Perfctl, en referencia al nombre del comando de Linux perf y a la abreviación ctl, que se suele usar en la línea de comandos.
Tal y como se desprende de los testimonios de algunas víctimas, el malware es resistente y difícil de eliminar. Intentan eliminar uno de sus archivos pero, al reiniciar el ordenador, vuelve a aparecer. «He intentado eliminar el malware siguiendo los pasos que se describen en otros foros, pero no he tenido éxito. El malware siempre se reinicia cuando cierro la sesión», explica un usuario en Reddit.

Usado para distintos fines​

Este bichito era después usado por sus administradores con distintos objetivos. Por un lado, se usaba para minar criptomonedas, razón por la que los usuarios infectados podían experimentar picos de uso de su procesador. También se podía usar para que otros redirigieran su tráfico de Internet, así como para instalar otras variantes de malware.
Malware en PC
Los investigadores de Aqua indican: «El malware también utiliza técnicas avanzadas de evasión, como suspender su actividad cuando detecta un nuevo usuario en los archivos btmp o utmp, y detener cualquier malware competidor para mantener el control sobre el sistema infectado», indican. Por todo ello, se entiende que es un malware bastante avanzado, y muy bien pensado para que el usuario no sea capaz de detectarlo.

Muy difícil de detectar​

Los usuarios con ordenadores infectados, por tanto, se han podido ir dando cuenta de que algo iba mal tras prestar mucha atención a algunos síntomas. En primer lugar, el pico en el uso de la CPU que comentábamos antes, así como notar el ordenador ralentizado, sobre todo después de haber estado inactivo un tiempo.
Por otro lado, una de las vulnerabilidades que el bichito usaba para instalarse ya recibió un parche corrector, aunque se estima que hay cientos de miles de dispositivos aún sin haberse actualizado. Se trata de CVE-2021-4043, una vulnerabilidad de escalada de privilegios que fue parcheada en 2021 en Gpac, un marco multimedia de código abierto bastante utilizado.
El éxito en la expansión de este malware supone un jarro de agua fría sobre la comunidad Linux, recordando que su familia de sistemas operativos no está libre del problema del cibercrimen.

www.adslzone.net

Miles de ordenadores Linux se han infectado de malware silencioso en los últimos 3 años

Los usuarios de la comunidad Linux reciben una mala noticia, tras descubrirse esta plaga de bichito que ha infectado miles de dispositivos.
www.adslzone.net www.adslzone.net


q=tbn:ANd9GcTkzA_s-P90Mt1ttUdbP02iVWCjNQR0rlIoKA&s.jpg

laugh-smile.gif


Criticando a los que usamos el sistema menos malo y masivo. Ahí lo tenéis. Ahora a disfrutar también de bichito y malwares. Esos que sólo afectaban a windows.
 
Última edición:
Sabes que te has infectado porque la CPU se te pone al 100%.

Cosa que con otros SSOO pasa sin necesidad de rootkits.

Y es un malware que depende de Polkit, que es una cosa... Copiada del UAC de Windows Vista.

Paradójicamente aquí las distribuciones más vulnerables son las "empresariales" como Red Hat o Ubuntu...
 
cuñado de bar dijo:
Criticando a los que usamos el sistema menos malo y masivo. Ahí lo tenéis. Ahora a disfrutar también de bichito y malwares. Esos que sólo afectaban a windows.
Hacer clic para expandir...

una vulnerabilidad de escalada de privilegios que fue parcheada en 2021 en Gpac
una vulnerabilidad de escalada de privilegios que fue parcheada en 2021 en Gpac
una vulnerabilidad de escalada de privilegios que fue parcheada en 2021 en Gpac
una vulnerabilidad de escalada de privilegios que fue parcheada en 2021 en Gpac
 
Kozak dijo:
Sabes que te has infectado porque la CPU se te pone al 100%.

Cosa que con otros SSOO pasa sin necesidad de rootkits.

Y es un malware que depende de Polkit, que es una cosa... Copiada del UAC de Windows Vista.

Paradójicamente aquí las distribuciones más vulnerables son las "empresariales" como Red Hat o Ubuntu...
Hacer clic para expandir...
sin ser experto, me extraña que los "hackers" no hayan pensado que es más efectivo usar solo un 20/30% para que la gente no se entere de estar infectados...
 
escudero dijo:
sin ser experto, me extraña que los "hackers" no hayan pensado que es más efectivo usar solo un 20/30% para que la gente no se entere de estar infectados...
Hacer clic para expandir...
Era para minar criptos, así que les pudo el ansia viva.
 
Kozak dijo:
Sabes que te has infectado porque la CPU se te pone al 100%.

Cosa que con otros SSOO pasa sin necesidad de rootkits.

Y es un malware que depende de Polkit, que es una cosa... Copiada del UAC de Windows Vista.

Paradójicamente aquí las distribuciones más vulnerables son las "empresariales" como Red Hat o Ubuntu...
Hacer clic para expandir...
Vaya despropósito de mensaje has escrito. Lo que más loco me ha dejado es que relaciones Polkit con Windows, ¿qué shishi tendrá que ver Windows con Polkit? Y para rizar el rizo, dices que está copiado del UAC de Windows Vista, cuando la primera versión de Polkit es anterior al lanzamiento de Windows Vista y aunque estuviese inspirado en él, ¿qué shishi tendrá que ver Polkit o éste rootkit con Windows?


escudero dijo:
sin ser experto, me extraña que los "hackers" no hayan pensado que es más efectivo usar solo un 20/30% para que la gente no se entere de estar infectados...
Hacer clic para expandir...
Sólo se pone a minar cuando detecta que el ordenador/servidor no está siendo usado, además de que seguramente será el 100% de un núcleo y en procesadores de varios núcleos pasaría desapercibido; no así en servidores VPS cutres de 1 núcleo y 1 giga de RAM que es donde ha sido detectado en la mayoría de casos. Por ponerte un ejemplo, 1 hilo al 100% de los 32 de mi CPU, sólo consume un 3,5% de la potencia total de la CPU.

Esto sigue infectando en la actualidad y ya desde hace años.
 
audienorris1899 dijo:
Vaya despropósito de mensaje has escrito. Lo que más loco me ha dejado es que relaciones Polkit con Windows, ¿qué shishi tendrá que ver Windows con Polkit? Y para rizar el rizo, dices que está copiado del UAC de Windows Vista, cuando la primera versión de Polkit es anterior al lanzamiento de Windows Vista y aunque estuviese inspirado en él, ¿qué shishi tendrá que ver Polkit o éste rootkit con Windows?



Sólo se pone a minar cuando detecta que el ordenador/servidor no está siendo usado, además de que seguramente será el 100% de un núcleo y en procesadores de varios núcleos pasaría desapercibido; no así en servidores VPS cutres de 1 núcleo y 1 giga de RAM que es donde ha sido detectado en la mayoría de casos. Por ponerte un ejemplo, 1 hilo al 100% de los 32 de mi CPU, sólo consume un 3,5% de la potencia total de la CPU.

Esto sigue infectando en la actualidad y ya desde hace años.
Hacer clic para expandir...
querido líder esta en el ajo, seguro
 
No me creo nada.

Se supone que el bichito lo que hace es minar criptomonedas, lo cual somete al ordenador a un estrés bestial que pone los ventiladores a soplar como turbinas.

Eso canta por soleares, y más en los portátiles. Es imposible que los desarrolladores de Linux no se hayan dado cuenta en 3 años. Imposible absolutamente.

Humo.
 
Gatoo_ dijo:
No me creo nada.

Se supone que el bichito lo que hace es minar criptomonedas, lo cual somete al ordenador a un estrés bestial que pone los ventiladores a soplar como turbinas.

Eso canta por soleares, y más en los portátiles. Es imposible que los desarrolladores de Linux no se hayan dado cuenta en 3 años. Imposible absolutamente.

Humo.
Hacer clic para expandir...
Humo no. ocre. Mucha ocre, viendo que el chiringo de las rentas monopolistas de los SSOO de escritorio podría no ser eterno. Y el modelo de negocio de Windows y Office se basa en tener rentas monopolistas. El problema es que el talento en Microsoft está mayormente en Azu(f)re, no en esos dos "dinosaurios" por la neomanía de los programadores, que suelen preferir inventar algo ellos a mantener ñapas de otro, más aún cuando son ñapas de decenios de antigüedad.
 
Gatoo_ dijo:
No me creo nada.

Se supone que el bichito lo que hace es minar criptomonedas, lo cual somete al ordenador a un estrés bestial que pone los ventiladores a soplar como turbinas.

Eso canta por soleares, y más en los portátiles. Es imposible que los desarrolladores de Linux no se hayan dado cuenta en 3 años. Imposible absolutamente.

Humo.
Hacer clic para expandir...
Bueno, puedes usar solo un 35% y los ventiladores ya no soplan tanto ...

Ademas siempre se puede achacar a un núcleo no afinado en compilación
 
Esto lo suelen colar más fácilmente en servidores que sus propietarios no se molestan en actualizarlos/configuralos medianamente, ya sea por desidia o por desconocimiento, los mismos usuarios que tienen un servidor SSH con acceso para root con la clave 123456.

Muchos de estos acaban en alguna botnet que luego usan para diferentes fines: ataques DDoS, envío de spam, envío de malware, minado de bitcoins, etc
 
Iniciar sesión o registrarte para responder aquí.

Similar threads

I
«Malware» en la KDE Store, el «tema» de la seguridad y sus múltiples caras. También backdoor en algunas distros. Linux inside
2
Respuestas
19
Visitas
2K
cucerulo
cucerulo
D
Cómo configurar el navegador y las extensiones para que no te rastreen
Respuestas
8
Visitas
961
checkcenter
checkcenter
Lovecraf
Última Hora. La Audiencia Nacional ordena bloquear Telegram en España.
7 8 9 10 11 12 13 14
Respuestas
209
Visitas
23K
Sargento Kowalski
Sargento Kowalski
Danito10
[GUÍA 2021] Cómo seguir usando Windows XP de forma totalmente segura y sin problemas ¡PARA SIEMPRE!
Respuestas
0
Visitas
318
Danito10
Danito10
Hiro
Cuidado en YouTube: hay anuncios que vampirizan tu ordenador para fabricar criptomoneda
Respuestas
0
Visitas
483
Hiro
Hiro
Volver