La firma de seguridad informática Intezer descubrió un “nuevo y sofisticado malware”, bautizado con el nombre HiddenWasp, el cual ataca sistemas Linux.

El malware está activo y por ahora no es detectable por ninguno de los antivirus más importantes en Linux y su función principal es tomar el control de sistemas Linux en forma remota, algo que no se ve mucho, ya que los malwares más comunes en Linux se utilizan para hacer minado de criptomonedas o ataques de denegación de servicio (DDoS).

De acuerdo a Intezer, por ahora no se sabe a ciencia cierta cómo los sistemas se están infectando con el malware.  Lo único es que la evidencia que descubrieron muestra que existe una alta probabilidad de que HiddenWasp podría ser un ataque secundario a los sistemas que ya fueron comprometido de alguna otra manera.

Wasp (HiddenWasp Malware)

También parece que el malware fue creado en Abril y es el producto de largas líneas de código de varios malwares que se puede conseguir fácilmente.  Intezer señala que este malware incluye código de Azazel rootkit y de Mirai.  Además también encontraron algunas similaridades con algunas familias de malware desarrolladas en China.

Además explican que el proceso de infección envuelve la creación de una nueva cuenta de usuario llamada SFPT, junto con una contraseña, para que los cibercriminales puedan acceder al sistema Linux, aún después de que HiddenWasp ha sido eliminado.

En el anuncio del descubrimiento de este malware, Intezer también ofrece recomendaciones para prevenir el ataque de HiddenWasp y también para detectar en caso de que el malware ya esté instalado en el sistema Linux.

HiddenWasp Prevención y Respuesta

Prevención:

Bloquear las direcciones IP de Comando y Control qye detallan en la sección IOCs, al final del artículo en el blog de Intezer.

Respuesta:

Intezer ha provisto una YARA rule “destinada a ejecutarse contra artefactos en memoria” para poder detectar al malware.

Además pueden verificar si un sistema Linux está infectado con HiddenWasp buscando por ficheros “ld.so”.  Si alguno de los ficheros de ese tipo que encuentran no contiene la cadena ‘/etc/ld.so.preload’, el sistema puede llegar a estar comprometido y Intezer explica que esto se debe a que el implante de troyano intentará modificar instancias de ld.so para aplicar el mecanismo LD_PRELOAD desde ubicaciones arbitrarias.