Pesquisadores de segurança cibernética descobriram um novo malware furtivo para Linux que utiliza uma técnica não convencional para obter persistência em sistemas infectados e ocultar código de skimmer de cartão de crédito.
O malware, atribuído a um agente de ameaças com motivação financeira, recebeu o codinome sedex pela equipe de serviços de resposta a incidentes Stroz Friedberg da Aon.
“Essa ameaça avançada, ativa desde 2022, se esconde à vista de todos enquanto fornece aos invasores recursos de proteção reversa e táticas avançadas de ocultação”, disseram os pesquisadores Zachary Reichert, Daniel Stein e Joshua Pivirotto.
Não é de surpreender que agentes mal-intencionados estejam constantemente improvisando e refinando suas habilidades e tenham recorrido a novas técnicas para evitar a detecção.
O que torna o sedexp notável é seu uso de regras udev para manter a persistência. O udev, substituto do Machine File System, oferece um mecanismo para identificar dispositivos com base em suas propriedades e configurar regras para responder quando há uma mudança no estado do dispositivo, ou seja, um dispositivo é conectado ou removido.
Cada linha no arquivo de regras do udev tem pelo menos um par chave-valor, possibilitando a correspondência de dispositivos por nome e o acionamento de determinadas ações quando vários eventos de dispositivo são detectados (por exemplo, acionamento de um backup automático quando uma unidade externa é conectada).
“Uma regra de correspondência pode especificar o nome do nó do dispositivo, adicionar hyperlinks simbólicos apontando para o nó ou executar um programa especificado como parte do tratamento de eventos”, observa o SUSE Linux em sua documentação. “Se nenhuma regra de correspondência for encontrada, o nome do nó do dispositivo padrão será usado para criar o nó do dispositivo.”
A regra udev para sedexp — ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” — é configurada de forma que o malware seja executado sempre que /dev/random (corresponde ao dispositivo menor número 8) for carregado, o que normalmente ocorre a cada reinicialização.
Em outras palavras, o programa especificado no parâmetro RUN é executado sempre que o sistema é reiniciado.
O malware vem com recursos para iniciar um shell reverso para facilitar o acesso remoto ao host comprometido, bem como modificar a memória para ocultar qualquer arquivo que contenha a string “sedexp” de comandos como ls ou discover.
Stroz Friedberg disse que, nos casos investigados, o recurso foi usado para ocultar shells da internet, arquivos de configuração do Apache alterados e a própria regra udev.
“O malware foi usado para esconder código de scraping de cartão de crédito em um servidor internet, indicando um foco em ganho financeiro”, disseram os pesquisadores. “A descoberta do sedexp demonstra a sofisticação em evolução de agentes de ameaças com motivação financeira além do ransomware.”
