Novo trojan ameaça o ecossistema Linux

Pesquisadores de segurança descobriram um novo malware rootkit para Linux chamado Pumakit, projetado para usar técnicas avançadas de escalonamento de privilégios e furtividade para ocultar sua presença em sistemas vulneráveis. O malware, identificado pela Elastic Security, segue um processo de infecção em várias etapas, começando com um dropper chamado cron, que carrega cargas úteis diretamente na memória (/memfd:tgt e /memfd:wpn). A carga útil ativa um módulo do kernel (LKM) chamado puma.ko, que manipula o comportamento do kernel por meio de técnicas como a modificação da tabela syscall e o uso da função kallsyms_lookup_name().

Leia também
Trojan brasileiro ataca usuários na Itália
Software da Cleo está sob ataque na web

Esse rootkit foi projetado para atingir kernels Linux anteriores à versão 5.7, pois utiliza funções não exportadas em versões mais recentes do kernel. Além disso, ele intercepta chamadas do sistema para conceder privilégios de root a processos específicos, ocultar arquivos e processos e garantir persistência ao reinstalar automaticamente ganchos maliciosos se forem interrompidos.

Outro componente do Pumakit é o rootkit de userland chamado Kitsune SO, que opera em sinergia com o módulo LKM. Ele intercepta chamadas do sistema no nível do usuário, alterando o comportamento de programas como ls, ps e netstat para ocultar atividades maliciosas, além de gerenciar a comunicação com servidores de comando e controle (C2), retransmitindo comandos e transmitindo informações do sistema para os operadores.

A Elastic publicou uma regra YARA e hashes de arquivos para ajudar administradores de sistemas Linux a detectar o Pumakit. A recomendação é evitar kernels Linux antigos, monitorar alterações incomuns em sistemas e implementar as regras fornecidas para detecção precoce do malware. O Pumakit destaca a necessidade de segurança robusta em sistemas Linux devido ao aumento de ameaças sofisticadas.