Pesquisadores identificaram um novo malware furtivo para Linux chamado sedexp. Esse novo malware usa regras udev do Linux para obter persistência e evitar detecção.
Sedexp: um novo malware furtivo para Linux
A Cyber Solutions da Aon identificou uma nova família de malware, chamada sedexp, que depende de uma técnica de persistência menos conhecida do Linux.
Esse malware está ativo desde pelo menos 2022, mas permaneceu amplamente indetectável por anos. Os especialistas apontaram que o método de persistência empregado por esse malware não é documentado atualmente pelo MITRE ATT&CK. A técnica permite que o malware mantenha persistência em sistemas infectados e oculte códigos de skimmer de cartão de crédito.
O Sedexp usa regras udev para manter a persistência. O Udev é um componente do sistema que gerencia eventos de dispositivos em sistemas Linux, permitindo que ele identifique dispositivos com base em suas propriedades e configure regras para disparar ações quando os dispositivos são conectados ou removidos. Esse uso inovador das regras udev faz o sedexp se destacar como um mecanismo de persistência.
Durante uma investigação recente, Stroz Friedberg descobriu malware usando regras udev para manter a persistência. Essa técnica permite que o malware seja executado toda vez que um evento específico do dispositivo ocorre, tornando-o furtivo e difícil de detectar.
Essa regra garante que o malware seja executado sempre que /dev/random for carregado. /dev/random é um arquivo especial que serve como um gerador de números aleatórios, usado por vários processos e aplicativos do sistema para obter entropia para operações criptográficas, comunicações seguras e outras funções que exigem aleatoriedade. Ele é carregado pelo sistema operacional em cada reinicialização, o que significa que essa regra garantiria efetivamente que o script sedexp fosse executado na reinicialização do sistema.
Notícias Relacionadas
Desenvolvedores Python
Desenvolvedores Python estão sendo hackeados via teste de codificação de gerenciador de senhas falso
Membros Lazarus Group estão se passando por recrutadores, hackeando desenvolvedores Python com projetos de teste de codificação para produtos de gerenciamento de senhas que incluem malware. Desenvolvedores Python hackeados Os ataques de malwares fazem parte da ‘campanha VMConnect’ detectada pela primeira vez em agosto de 2023 (Via: Bleeping Computer), onde os cibercriminosos visavam desenvolvedores de […]
Ransomware RansomHub
Ransomware RansomHub usa ferramenta TDSSKiller para desabilitar sistemas de detecção e resposta de endpoint
Pesquisadores de segurança observaram o grupo de ransomware RansomHub usando a ferramenta TDSSKiller para desabilitar sistemas de detecção e resposta de endpoint (EDR). RansomHub usa ferramenta TDSSKiller para desabilitar detecção e resposta de endpoint A gangue de ransomware RansomHub está usando a ferramenta TDSSKiller para desabilitar sistemas de detecção e resposta de endpoint (EDR), observou […]
O malware sedexp tem duas características notáveis. A primeira é a capacidade de Reverse Shell: permite que o invasor mantenha o controle sobre o sistema comprometido remotamente; A segunda é a de modificação de memória para furtividade: o malware modifica a memória para ocultar arquivos que contêm a string “sedexp” de comandos como lsou find, ocultando efetivamente webshells, arquivos de configuração modificados do Apache e a própria regra udev.
Motivação dos ataques
Os pesquisadores acreditam que o autor da ameaça por trás do malware sedexp tem motivação financeira.
A descoberta do sedexp demonstra a sofisticação em evolução de agentes de ameaças motivados financeiramente além do ransomware. Aproveitar técnicas de persistência raramente utilizadas, como regras udev, destaca a necessidade de uma análise forense completa e avançada.
“As organizações devem atualizar continuamente suas capacidades de detecção, implementar medidas de segurança abrangentes para mitigar tais ameaças e garantir que uma empresa DFIR capaz seja contratada para concluir uma revisão forense de quaisquer servidores possivelmente comprometidos.”
Via: Security Affairs
