Malware linux

Novo malware Pumakit atinge Linux com técnicas furtivas de rootkit

Descoberto um novo rootkit para Linux chamado Pumakit, que usa técnicas avançadas para ocultar sua presença. Com múltiplos componentes, o malware visa escalonamento de privilégios e espionagem.

A nova era do hacktivismo em todo o mundo: tendências e mobilização pelo Estado

Foi identificado um novo malware do tipo rootkit chamado Pumakit, que utiliza técnicas sofisticadas e furtivas para ocultar sua presença em sistemas Linux. A descoberta foi feita pela Elastic Security após um arquivo binário suspeito, datado de 4 de setembro de 2024, ser carregado no VirusTotal. Esse malware pode ser utilizado por agentes de ameaças avançadas, com potencial para atingir sistemas críticos e corporativos, visando espionagem e roubo de informações sensíveis.

Novo malware rootkit Pumakit afeta sistemas Linux com táticas furtivas

Malware Linux usa ferramenta de código aberto para evitar detecção

Componentes do Pumakit

O Pumakit é composto por múltiplos elementos, entre eles um dropper, executáveis residentes na memória, um rootkit de módulo do kernel e outro de userland. O processo de infecção começa com o dropper “cron”, que executa a carga útil diretamente da memória. Essa carga contém dois arquivos principais: “/memfd:tgt” e “/memfd:wpn”, sendo o segundo responsável por realizar verificações e manipulações no kernel.

Técnicas de Escalonamento de Privilégios

Após a execução da carga útil, o rootkit instala um módulo no kernel (puma.ko) e um rootkit em userland (lib64/libs.so). O rootkit de userland utiliza o LD_PRELOAD para interceptar chamadas do sistema e modificar processos em execução, com o intuito de ocultar arquivos, processos e até conexões de rede relacionadas ao malware.

O Pumakit faz uso da função “kallsyms_lookup_name()” para manipular símbolos específicos do kernel, o que permite que ele seja eficaz em versões de kernels Linux anteriores à 5.7, uma vez que versões mais recentes não exportam essa função. Esse rootkit intercepta 18 chamadas de sistema, permitindo a ele modificar credenciais de processo, escalonar privilégios e garantir a persistência de suas ações.

Furtividade e Persistência

Além de suas técnicas de escalonamento de privilégios, o Pumakit também é projetado para se manter invisível. Ele consegue ocultar sua presença de ferramentas de sistema e antivírus, além de poder ocultar arquivos e diretórios conforme as necessidades do invasor. Se algum processo tentar interromper suas modificações, o rootkit as reinicia automaticamente, garantindo que suas alterações não sejam revertidas.

Controle do Rootkit

O rootkit de userland Kitsune SO trabalha em conjunto com o Pumakit, estendendo suas capacidades de furtividade. Ele intercepta chamadas de sistema e altera o comportamento de utilitários como ps, top, ls, cat, entre outros, para garantir que qualquer processo malicioso passe despercebido por administradores de sistema. Além disso, o Kitsune SO é responsável pela comunicação com o servidor de comando e controle, transmitindo informações do sistema e recebendo novos comandos do atacante.

Detecção e Prevenção

A Elastic Security, além de publicar hashes de arquivo associados ao malware, também compartilhou uma regra YARA para ajudar administradores de sistemas Linux a detectar a presença do Pumakit. Fica claro que a detecção e a mitigação desse tipo de rootkit exigem vigilância constante e o uso de ferramentas de segurança robustas.

Este ataque demonstra a crescente sofisticação das ameaças direcionadas ao sistema Linux, enfatizando a necessidade de monitoramento contínuo e a aplicação de estratégias de defesa adequadas para proteger ambientes corporativos e sistemas críticos.

Acesse a versão completa
Sair da versão mobile