Una sofisticada peste de Linux denominada Plague se ha convertido en una amenaza sin precedentes para la seguridad empresarial, evadiendo la detección en todos los principales motores antivirus al tiempo que establece el acceso persistente de SSH a través de la manipulación de mecanismos de autenticación central.
Descubierto por investigadores de ciberseguridad en Nextron Systems, este malware representa un cambio de paradigma en los ataques dirigidos a Linux, explotando los módulos de autenticación conectables (PAM) para lograr la persistencia de sigilo y a nivel de sistema casi perfecto.
La característica más alarmante del malware es su completa invisibilidad a las medidas de seguridad tradicionales. A pesar de que se suben múltiples variantes a Virustotal durante el año pasado, los motores antivirus cero marcaron cualquier muestra como maliciosa, logrando una tasa de detección perfecta 0/66.
Malware sin detectar
Esta capacidad de evasión sin precedentes se deriva de su integración a la infraestructura de autenticación fundamental de Linux, donde opera como un módulo PAM legítimo mientras subvierte los controles de seguridad.
Mecanismos de evasión de malware de la peste
Plague opera a través de un enfoque de múltiples capas que combina la ofuscación avanzada con la manipulación a nivel del sistema. El malware emplea técnicas en evolución de la ofuscación de cadenas que han progresado desde un simple cifrado basado en XOR hasta algoritmos sofisticados de etapas múltiples que incorporan algoritmo de programación clave (KSA), algoritmo de generación de pseudo-random (PRGA) y capas de generador de bits aleatorios (DRBG) determinados. Esta progresión refleja el desarrollo continuo por parte de los actores de amenaza para mantenerse por delante de las herramientas de análisis.
Los mecanismos antidebug del malware verifican que el binario mantenga su nombre de archivo esperado libselinux.so.8 y verifica la ausencia de ld.so.preload en las variables de entorno.
Estas comprobaciones permiten que el malware detecte entornos de sandbox y dependientes que comúnmente cambian de nombre de binarios o utilizan mecanismos de precarga para el análisis, lee el Nextron informe.
Dichas técnicas se alinean con las metodologías antidebug establecidas donde el malware verifica la integridad del entorno de ejecución antes de activar la funcionalidad maliciosa.
Antidebug
El cifrado de cadena representa un componente crítico de las capacidades sigilosas de Plague. Las muestras iniciales utilizaron operaciones XOR básicas, donde cada byte se somete a bit a bit Exclusive-o con una clave predeterminada.
Sin embargo, las variantes recientes han adoptado implementaciones similares a RC4 con rutinas personalizadas de KSA y PRGA. La fase KSA inicializa una matriz de estado de 256 bytes a través de permutaciones dependientes de la llave, mientras que PRGA genera una llave de tecla pseudorandom para descifrar cadenas ofuscadas durante el tiempo de ejecución.
Plague logra la persistencia disfrazando como un módulo PAM legítimo, específicamente dirigido a la función PAM_SM_Authenticate () responsable de la verificación de las credenciales del usuario.
Este enfoque explota la arquitectura modular de PAM, donde los procesos de autenticación cargan bibliotecas compartidas basadas dinámicamente en los archivos de configuración en /etc/pam.d/. Al posicionarse dentro de esta ruta de ejecución confiable, la plaga gana acceso a credenciales de texto sin formato y decisiones de autenticación.
SECUENTA DESCRIPCIÓN PROVERSE / BENEFICIO PARA ATATATATERInDEBUGUPLEMENTS Comprobaciones (por ejemplo, nombre de archivo, Vars de entorno) para evadir la detección de los inspensos de Debuggers por analistas y SandboxString de la capa de la capa de mapa de la capa de credenciales de credenciales de la capa de credenciales de los modulados de los binarios. Accesshidden Session ArtifactsSanitize el entorno, Vars Unsets, deshabilita la evidencia de la historia de la intrusión y el uso de shell
El malware implementa la autenticación de contraseña estática, lo que permite a los atacantes omitir la verificación de credenciales normales a través de contraseñas de puerta trasera codificada.
Esta técnica refleja las metodologías de puerta trasera PAM documentada donde los módulos maliciosos devuelven PAM_SUCCESS incondicionalmente para combinaciones de credenciales específicas. La integración del implante en la pila de autenticación garantiza que sobrevive a las actualizaciones del sistema y opera con privilegios elevados inherentes a los procesos de autenticación.
Plague demuestra una comprensión sofisticada de los artefactos forenses de Linux a través de mecanismos integrales de sigilo. El malware elimina sistemáticamente la evidencia de conexiones SSH al no usar las variables de entorno crítico, incluidas SSH_Connection, SSH_Client y SSH_TTY.
Estas variables normalmente contienen metadatos de conexión, como direcciones IP del cliente, números de puerto e información de terminal en la que los administradores del sistema confían para los senderos de auditoría.
Además, la peste redirige la variable de entorno de histfile a /dev /null, evitando efectivamente que se registre el historial de comandos de shell.
Esta técnica asegura que las actividades del atacante no dejen rastro en los archivos de la historia de Bash, que se examinan comúnmente durante la respuesta de incidentes. El conocimiento del malware de los procedimientos forenses de Linux sugiere el desarrollo de los actores con una importante experiencia en seguridad operativa.
El análisis de los artefactos de compilación revela un desarrollo activo y sostenido que abarca múltiples entornos y plazos. Siete muestras distintas compiladas entre julio de 2024 y marzo de 2025 demuestran un refinamiento continuo, con metadatos del compilador que indican se basan en los sistemas de hat Debian, Ubuntu y Red.
La distribución geográfica de las presentaciones virustotales principalmente de los Estados Unidos, con una muestra de China, sugiere un despliegue generalizado o una mala dirección deliberada.
El malware contiene una referencia cultural a la película de 1995 “Hackers”, que muestra el mensaje “Uh. Sr. The Plague, señor? Creo que tenemos un hacker”. Después de la exitosa autenticación de derivación.
Este huevo de Pascua, visible solo después de la desobfuscación, proporciona información sobre los antecedentes culturales de los actores de amenaza y potencialmente su atribución a los grupos de amenazas occidentales familiarizados con la cultura clásica de los piratas informáticos.
La emergencia de Plague destaca las vulnerabilidades críticas en los enfoques de seguridad de punto final tradicional que dependen en gran medida de la detección basada en la firma.
La capacidad del malware para lograr la detección cero en 66 motores antivirus demuestra las limitaciones de las herramientas de seguridad convencionales cuando se enfrentan a nuevos vectores de ataque que explotan los componentes del sistema de confianza.
La focalización de la infraestructura de PAM representa una evolución estratégica en el malware de Linux, yendo más allá de los ataques de la capa de aplicación para centrarse en los componentes del sistema fundamental.
Este enfoque permite a los atacantes mantener el acceso independientemente de las actualizaciones de la aplicación o los parches de seguridad, ya que la capa de autenticación sigue siendo consistentemente vulnerable. Los equipos de seguridad deben implementar la verificación de integridad del módulo PAM y monitorear las modificaciones del subsistema de autenticación para detectar amenazas similares.
Las organizaciones deben auditar inmediatamente las configuraciones de PAM, verificar la integridad de los módulos de autenticación e implementar el monitoreo de patrones de autenticación sospechosos.
La sofisticación del malware indica capacidades de amenaza persistentes a nivel estatal o avanzado, lo que garantiza posturas de seguridad elevadas para contratistas de infraestructura crítica y defensa.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
