Foi identificado um novo malware do tipo rootkit chamado Pumakit, que utiliza técnicas sofisticadas e furtivas para ocultar sua presença em sistemas Linux. A descoberta foi feita pela Elastic Security após um arquivo binário suspeito, datado de 4 de setembro de 2024, ser carregado no VirusTotal. Esse malware pode ser utilizado por agentes de ameaças avançadas, com potencial para atingir sistemas críticos e corporativos, visando espionagem e roubo de informações sensíveis.
Novo malware rootkit Pumakit afeta sistemas Linux com táticas furtivas
Componentes do Pumakit
O Pumakit é composto por múltiplos elementos, entre eles um dropper, executáveis residentes na memória, um rootkit de módulo do kernel e outro de userland. O processo de infecção começa com o dropper “cron”, que executa a carga útil diretamente da memória. Essa carga contém dois arquivos principais: “/memfd:tgt” e “/memfd:wpn”, sendo o segundo responsável por realizar verificações e manipulações no kernel.
Técnicas de Escalonamento de Privilégios
Após a execução da carga útil, o rootkit instala um módulo no kernel (puma.ko) e um rootkit em userland (lib64/libs.so). O rootkit de userland utiliza o LD_PRELOAD para interceptar chamadas do sistema e modificar processos em execução, com o intuito de ocultar arquivos, processos e até conexões de rede relacionadas ao malware.
O Pumakit faz uso da função “kallsyms_lookup_name()” para manipular símbolos específicos do kernel, o que permite que ele seja eficaz em versões de kernels Linux anteriores à 5.7, uma vez que versões mais recentes não exportam essa função. Esse rootkit intercepta 18 chamadas de sistema, permitindo a ele modificar credenciais de processo, escalonar privilégios e garantir a persistência de suas ações.
Notícias Relacionadas
Segurança cibernética
Spyware EagleMsgSpy explora dispositivos móveis desde 2017
Descoberto spyware chinês EagleMsgSpy, usado desde 2017 para vigilância avançada de dispositivos móveis, coletando dados pessoais amplos sem o conhecimento dos usuários.
Golpe digital
Recrutadores falsos espalham trojan bancário em apps maliciosos
Campanha de phishing sofisticada usa falsos recrutadores e aplicativos maliciosos para distribuir uma versão atualizada do trojan bancário Antidot, visando roubar dados financeiros e pessoais de usuários Android.
Furtividade e Persistência
Além de suas técnicas de escalonamento de privilégios, o Pumakit também é projetado para se manter invisível. Ele consegue ocultar sua presença de ferramentas de sistema e antivírus, além de poder ocultar arquivos e diretórios conforme as necessidades do invasor. Se algum processo tentar interromper suas modificações, o rootkit as reinicia automaticamente, garantindo que suas alterações não sejam revertidas.
Controle do Rootkit
O rootkit de userland Kitsune SO trabalha em conjunto com o Pumakit, estendendo suas capacidades de furtividade. Ele intercepta chamadas de sistema e altera o comportamento de utilitários como ps, top, ls, cat, entre outros, para garantir que qualquer processo malicioso passe despercebido por administradores de sistema. Além disso, o Kitsune SO é responsável pela comunicação com o servidor de comando e controle, transmitindo informações do sistema e recebendo novos comandos do atacante.
Detecção e Prevenção
A Elastic Security, além de publicar hashes de arquivo associados ao malware, também compartilhou uma regra YARA para ajudar administradores de sistemas Linux a detectar a presença do Pumakit. Fica claro que a detecção e a mitigação desse tipo de rootkit exigem vigilância constante e o uso de ferramentas de segurança robustas.
Este ataque demonstra a crescente sofisticação das ameaças direcionadas ao sistema Linux, enfatizando a necessidade de monitoramento contínuo e a aplicação de estratégias de defesa adequadas para proteger ambientes corporativos e sistemas críticos.
