Pesquisadores de segurança da ESET identificaram o WolfsBane, um malware avançado para Linux atribuído ao grupo chinês Gelsemium. Essa ameaça parece ser uma adaptação de uma variante do Windows e reflete uma mudança significativa no foco de hackers, devido ao fortalecimento das defesas no sistema Windows.
A transição de ameaças para o Linux
Conforme a segurança no Windows evolui, com ferramentas como detecção de endpoints (EDR) e a desativação de macros VBA, grupos avançados de ameaças persistentes (APT) estão explorando novos territórios. O Linux, que domina servidores e sistemas voltados para a internet, tornou-se um alvo preferido devido a essas mudanças.
O que é o WolfsBane?
O WolfsBane é uma ferramenta complexa composta por dropper, launcher e backdoor. Ela utiliza um rootkit modificado, baseado em código aberto, para ocultar suas atividades. O dropper, identificado como ‘cron’, introduz o malware no sistema, enquanto o launcher se disfarça como componente do KDE para ganhar persistência.
Após a instalação, ele desabilita o SELinux, ajusta arquivos de configuração e carrega bibliotecas criptografadas que garantem a comunicação com servidores de comando e controle (C2). Uma versão modificada do rootkit BEURK também é carregada, permitindo ocultar processos, arquivos e conexões de rede associados ao malware.
O impacto do WolfsBane
Esse malware oferece controle total aos atacantes, permitindo manipulação do sistema, exfiltração de dados e operações remotas. A semelhança entre os comandos no Linux e sua versão para Windows reforça a origem compartilhada com o grupo Gelsemium.
Notícias Relacionadas
Firewood: outra ameaça emergente
Além do WolfsBane, pesquisadores identificaram o FireWood, um backdoor que pode ser compartilhado entre grupos APT chineses. Embora suas conexões com o Gelsemium sejam menos evidentes, ele é igualmente perigoso, com recursos para espionagem de longo prazo, ocultação de processos e execução automática no sistema.
O FireWood utiliza um arquivo de autoinicialização (‘gnome-control.desktop’) e pode operar em nível de kernel usando rootkits como ‘usbdev.ko’. Isso torna seus operadores capazes de esconder atividades e manter a persistência nos sistemas atacados.
Conclusões e medidas preventivas
A descoberta do WolfsBane e do FireWood reflete uma tendência alarmante de ataques avançados focados no Linux. É essencial que administradores reforcem a segurança de servidores e adotem medidas como monitoramento de processos e análise de tráfego para evitar compromissos futuros.
Para detalhes técnicos, a ESET disponibilizou os indicadores de comprometimento (IoCs) em seu repositório no GitHub, ajudando especialistas a identificar e mitigar esses ataques.
