Backdoor 'Plague' utiliza módulo PAM malicioso para comprometer autenticação e garantir persistência em Linux

Pesquisadores identificaram um backdoor para Linux, anteriormente não documentado e apelidado de 'Plague', que conseguiu evadir a detecção por mais de um ano, representando uma grave ameaça a sistemas críticos. A descoberta, detalhada pela empresa de segurança Nextron Systems, revela uma ferramenta maliciosa projetada para se infiltrar silenciosamente e garantir acesso persistente a servidores.

"O implante é construído como um PAM (Módulo de Autenticação Conectável) malicioso, permitindo que os hackers contornem silenciosamente a autenticação do sistema e obtenham acesso SSH persistente", afirmou Pierre-Henri Pezier, pesquisador da Nextron Systems.

Os Módulos de Autenticação Conectáveis (PAM) são um conjunto de bibliotecas compartilhadas fundamentais para o ecossistema Linux e sistemas baseados em UNIX, responsáveis por gerenciar a autenticação de usuários em diversas aplicações e serviços. Dado que os módulos PAM são carregados em processos de autenticação com privilégios elevados, a inserção de um módulo malicioso como o 'Plague' permite que um invasor intercepte e roube credenciais de usuários, ignore verificações de segurança e, crucialmente, permaneça invisível para a maioria das ferramentas de segurança.

A empresa de cibersegurança revelou que descobriu múltiplos artefatos do 'Plague' enviados à plataforma VirusTotal desde 29 de julho de 2024. Notavelmente, durante mais de um ano, nenhum deles foi detectado pelos motores antimalware como sendo malicioso. Além disso, a presença de várias amostras distintas sinaliza um desenvolvimento ativo do malware pelos grupos hackers desconhecidos por trás de sua criação.

O 'Plague' possui quatro características principais que o tornam particularmente perigoso:

1. Credenciais estáticas: Permite que o invasor tenha um acesso secreto e garantido ao sistema.

2. Resistência à análise: Utiliza técnicas antidepuradores (anti-debugging) e ofuscação de strings para dificultar a engenharia reversa.

3. Furtividade aprimorada: Apaga ativamente as evidências de uma sessão SSH, tornando a auditoria forense extremamente difícil.

   
   

Essa furtividade é alcançada ao desativar variáveis de ambiente como $SSH_CONNECTION e $SSH_CLIENT usando a função unsetenv, e ao redirecionar o $HISTFILE (arquivo de histórico de comandos) para /dev/null, impedindo qualquer registro dos comandos executados pelo hacker.

"A 'Plague' se integra profundamente na pilha de autenticação, sobrevive a atualizações do sistema e não deixa quase nenhum rastro forense", observou Pezier. "Combinado com ofuscação em camadas e manipulação do ambiente, isso o torna excepcionalmente difícil de detectar com ferramentas tradicionais."

Via - THN