Este astuto malware para Linux permaneció sin ser detectado durante años y está utilizando tácticas de ataque innovadoras.

Un nuevo tipo de malware dirigido a dispositivos Linux ha sido detectado por expertos, quienes advierten que esta amenaza ha estado activa y operando de manera encubierta durante más de dos años. Según los análisis realizados por Stroz Friedberg, la pieza de software malicioso, denominada "sedexp", ha logrado evadir la detección desde su aparición en 2022.

Lo que hace que este malware sea particularmente preocupante no es únicamente su capacidad para otorgar acceso remoto a sus operadores, sino la sofisticada forma en la que ha permanecido oculto de la mayoría de las soluciones antivirus. Sedexp utiliza reglas de udev para permanecer bajo el radar. A día de hoy, esta técnica de persistencia no está documentada en el marco MITRE ATT&CK.

Udev actúa como un gestor de dispositivos en el núcleo Linux, encargándose de la administración de nodos de dispositivos dentro del directorio /dev. Esta herramienta se encarga de la creación y eliminación dinámica de nodos de dispositivos en función de los dispositivos conectados, como unidades USB, impresoras y interfaces de red. Por su parte, las reglas de udev son configuraciones en texto que indican cómo gestionar diferentes dispositivos o eventos. Para asegurarse de que el malware se mantenga oculto, sedexp añade una regla específica a udev, además de nombrar su proceso como ‘kdevtmpfs’, que coincide con un proceso legítimo, lo que complica aún más su detección.

Los expertos creen que este malware ha estado activo desde, al menos, 2022 y ha sido encontrado en numerosas cajas de arena en línea, ninguna de las cuales activó alertas en antivirus. Se sospecha que esta amenaza se ha utilizado para ocultar un skimmer de tarjetas de crédito.

• malware
• Linux
• ciberseguridad