A segurança informática enfrenta um novo desafio com o surgimento do WolfsBane , um backdoor direcionado ao Linux atribuído ao grupo de hackers chineses Gelsemium . Este malware, considerado uma adaptação de uma variante para Windows, marca uma mudança significativa nas táticas dos atores maliciosos em relação aos sistemas Linux.
 

Fundo

Nos últimos anos, grupos de ameaças persistentes avançadas (APT, sigla em inglês) intensificaram seus ataques às plataformas Linux devido ao aumento dos níveis de segurança no Windows. Ferramentas como detecção e resposta de endpoint ( EDR ) e desativação de macros VBA por padrão fizeram com que os invasores explorassem novos vetores de ataque, especialmente em sistemas expostos à Internet que executam principalmente Linux.

WolfsBane: um novo ator no cenário de malware

Componentes de malware

Segundo os pesquisadores da ESET, o WolfsBane é um malware completo que inclui três componentes principais:

  1. Dropper : introduz malware no sistema de destino.
  2. Launcher : Disfarçado de componente da área de trabalho do KDE, estabelece persistência no sistema.
  3. Backdoor : Executa operações maliciosas e facilita a comunicação com servidores de comando e controle ( C2 ).
 
O malware usa um rootkit de código aberto modificado, conhecido como BEURK, para evitar a detecção, ocultando processos, arquivos e tráfego relacionados ao WolfsBane.
 

Método de Operação

  • Entrega : Introduzido através de um conta-gotas chamado cron .
  • Persistência : Modifica as configurações do sistema e desativa o SELinux se estiver operando com privilégios elevados.
  • C2 e funcionalidades : WolfsBane executa comandos do servidor C2, incluindo operações de arquivos, exfiltração de dados e manipulação do sistema, dando controle total ao invasor.
 

FireWood: outro malware no radar

Embora não esteja diretamente ligado ao Gelsemium, o FireWood é outro backdoor para Linux identificado pela ESET. Este malware foi projetado para espionagem de longo prazo e apresenta recursos avançados como:

  • Execução de comandos do sistema.
  • Exfiltração de dados.
  • Upload e download de bibliotecas.
  • Usando um rootkit em nível de kernel (usbdev.ko) para ocultar processos.
 
O FireWood estabelece persistência criando arquivos de inicialização automática, garantindo que seja ativado sempre que o sistema for reinicializado.

Impacto e Tendências

A ESET observa que esta tendência de malware para Linux é cada vez mais notável. Com WolfsBane e FireWood, os invasores estão explorando vulnerabilidades em sistemas Linux para realizar campanhas de espionagem e controlar totalmente os sistemas comprometidos.
 

Recomendações de segurança


  1. Atualize os sistemas regularmente : certifique-se de instalar atualizações de segurança no sistema operacional e nos aplicativos.
  2. Configure o SELinux ou AppArmor : Implemente políticas de segurança rígidas.
  3. Monitoramento de atividades incomuns : Use ferramentas para identificar comportamentos suspeitos no sistema.
  4. Verifique as configurações de inicialização automática : procure entradas suspeitas em diretórios como .config/autostart/.
 
O surgimento do WolfsBane e do FireWood destaca a crescente ameaça representada pelo malware direcionado ao Linux. Com ferramentas avançadas para evitar a detecção, esses malwares ressaltam a importância de fortalecer as defesas em sistemas baseados em Linux, especialmente aqueles expostos à Internet.
 

Indicadores de Compromisso

Para mais informações e detalhes técnicos, você pode acessar o repositório GitHub fornecido pelos pesquisadores da ESET, que inclui indicadores de comprometimento associados a essas ameaças.
 
Fonte: Somos Libres