Investigadores de ciberseguridad han revelado detalles de un nuevo backdoor de Linux llamado PamDOORa, que está siendo anunciado en el foro de cibercrimen ruso Rehub por 1.600 dólares por un actor de amenazas llamado "darkworm".
El backdoor está diseñado como un kit de post-explotación basado en el Módulo de Autenticación Enchufable (PAM PAM) que permite el acceso persistente a SSH mediante una contraseña mágica y una combinación específica de puerto TCP. También es capaz de recopilar credenciales de todos los usuarios legítimos que se autentiquen a través del sistema comprometido.
"La herramienta, llamada PamDOORa, es un nuevo backdoor basado en PAM, diseñado para servir como un backdoor de post-explotación, permitiendo la autenticación a servidores a través de OpenSSH", dijo el investigador de Flare.io Assaf Morag en un informe técnico. "Presuntamente, esto permanecería persistente en sistemas Linux (x86_64)".
PamDOORa es el segundo backdoor de Linux que apunta a la pila PAM después de Plague. PAM es un marco de seguridad en los sistemas operativos Unix/Linux que otorga a los administradores del sistema la capacidad de incorporar múltiples mecanismos de autenticación o actualizarlos (por ejemplo, cambiar contraseñas por biometría) en un sistema existente mediante el uso de módulos enchufables sin necesidad de reescribir las aplicaciones existentes.
Debido a que los módulos PAM normalmente se ejecutan con privilegios de root privilegios de root, un módulo comprometido, mal configurado o malicioso puede introducir riesgos de seguridad significativos y abrir la puerta a la recopilación de credenciales y el acceso no autorizado.
"A pesar de sus fortalezas, la modularidad del Módulo de Autenticación Enchufable (PAM) introduce riesgos, ya que las modificaciones maliciosas en los módulos PAM pueden crear backdoors o robar credenciales de usuario, especialmente porque PAM no almacena contraseñas sino que transmite valores en texto plano", señaló Group-IB en septiembre de 2024.
"El módulo pam_exec, que permite la ejecución de comandos externos, puede ser explotado por atacantes para obtener acceso no autorizado o establecer un control persistente inyectando scripts maliciosos en los archivos de configuración de PAM".
El proveedor de seguridad singapurense también detalló cómo es posible manipular la configuración de PAM para la autenticación SSH para ejecutar un script a través de pam_exec, permitiendo efectivamente que un actor malintencionado obtenga un shell privilegiado en un host y facilite una persistencia sigilosa.
Los últimos hallazgos de Flare.io muestran que PamDOORa, además de permitir el robo de credenciales, incorpora capacidades antiforenses para manipular metódicamente los registros de autenticación y borrar el rastro de la actividad maliciosa.
Aunque no hay pruebas de que el malware haya sido utilizado en ataques del mundo real, es probable que las cadenas de infección que distribuyen el malware impliquen que el adversario obtenga primero el acceso root al host a través de algún otro medio y despliegue el módulo PAM PamDOORa para capturar credenciales y establecer un acceso persistente sobre SSH.
Después de un precio inicial de 1.600 dólares el 17 de marzo de 2026, la persona "darkworm" lo ha reducido desde entonces en casi un 50% a 900 dólares a partir del 9 de abril, lo que indica ya sea una falta de interés de los compradores o una intención de acelerar la venta.
"PamDOORa representa una evolución sobre los backdoors PAM de código abierto existentes", explicó Morag. "Si bien las técnicas individuales (hooks de PAM, captura de credenciales, manipulación de registros) están bien documentadas, la integración en un implante modular y cohesivo con anti-depuración, disparadores conscientes de la red y un pipeline de construcción lo sitúa más cerca de una herramienta de grado operativo que de los scripts rudimentarios de prueba de concepto que se encuentran en la mayoría de los repositorios públicos".
Fuente:
THN



No hay comentarios:
Publicar un comentario