Pesquisadores de segurança cibernética da equipe do Qihoo 360 NetLab descobriram recentemente uma nova backdoor do Linux, que foi apelidada de “Facefish”. Os especialistas afirmam que essa backdoor tem capacidade de roubar informações do dispositivo do usuário, credenciais de login e até mesmo executar comandos arbitrários nos sistemas Linux infectados.
Ao explorar essa nova porta dos fundos do Facefish, o invasor pode criptografar as comunicações com o servidor controlado por ele com a ajuda da cifra Blowfish, cifra de blocos simétrica que encripta dados em blocos. E não apenas isso, também permite que o invasor entregue vários rootkits (malwares que dão acesso privilegiado a um computador) em momentos distintos.
A “porta traseira” do Facefish é composta por dois módulos principais: dropper e rootkit. O objetivo principal ou função do módulo rootkit é reconhecer o objetivo principal ou função da porta traseira do Facefish. Com a ajuda do recurso LD_PRELOAD, o módulo é carregado. Explorando o LD_PRELOAD, o módulo rootkit do Facefish intercepta as funções relacionadas ao programa ssh/sshd para roubar as credenciais de login dos usuários nos sistemas Linux afetados.
As funções principais da porta traseira Facefish são carregar informações do dispositivo, roubar credenciais de usuário, executar Bourne shell (ou simplesmente sh), e executar comandos arbitrários.
Veja isso
ESET descobre backdoor de POS em automação comercial Oracle
Malware Sunspot foi usado para instalar backdoor no SolarWinds
Um relatório anterior da Juniper Networks explica sobre uma cadeia de ataque que injeta SSH, protocolo de rede para o usuário internet acessar, administrar e modificar remotamente servidores, no Control Web Panel para exfiltrar dados dos sistemas afetados.
Os pesquisadores do Qihoo 360 NetLab explicam que a cadeia de infecção da backdoor Facefish pode ser dividida em três estágios. Na primeira etapa, por meio do dropper implantado e da vulnerabilidade no sistema infectado, o Facefish dissemina sua infecção. No segundo estágio, o módulo dropper do Facfish libera o rootkit no sistema infectado. O terceiro estágio é o operacional e, nessa etapa, o módulo rootkit coleta as informações confidenciais do sistema infectado e aguarda as instruções do servidor de comando e controle (C&C) para realizar o processo de execução.
Para o comprometimento inicial, a vulnerabilidade definitiva que é explorada pelo invasor ainda permanece oculta. Mas os analistas de segurança explicam que o módulo dropper do Facefish vem com um conjunto de tarefas pré-construídas, tais como detectar o ambiente em tempo de execução, obter informações de comando e controle descriptografando um arquivo de configuração, reportar informações de credenciais roubadas, executar qualquer comando do sistema, entre outras operações.