Últimas Notícias
ASSINE

Malware PUMAKIT Destaca Crescente Sofisticação de Ameaças para Linux

Pesquisadores de segurança cibernética identificaram o PUMAKIT, um novo rootkit para Linux com capacidades avançadas, como elevação de privilégios, ocultação de arquivos e diretórios, além da habilidade de se esconder de ferramentas tradicionais do sistema. O rootkit também emprega técnicas sofisticadas para evitar detecção e manter comunicação com servidores de comando e controle (C2).

O PUMAKIT funciona como um módulo de kernel carregável (LKM) com arquitetura em múltiplos estágios. Ele inclui diversos componentes, como um dropper chamado “cron”, dois executáveis residentes na memória (“/memfd:tgt” e “/memfd:wpn”), um rootkit LKM (“puma.ko”) e um componente userland compartilhado chamado Kitsune (“lib64/libs.so”). Utilizando o tracer interno do Linux (ftrace), o malware intercepta até 18 chamadas de sistema e várias funções do kernel, incluindo “prepare_creds” e “commit_creds”, para alterar o comportamento do sistema e alcançar seus objetivos. Entre as táticas exclusivas do rootkit, destaca-se o uso da syscall rmdir() para escalar privilégios. Ele também possui comandos especializados para extrair configurações e informações do ambiente comprometido.

O PUMAKIT é projetado para ativar-se apenas em condições específicas, como verificações de boot seguro e a disponibilidade de símbolos do kernel, garantindo que apenas sistemas compatíveis sejam infectados. Um componente interessante da cadeia de infecção é o arquivo “/memfd:tgt”, que atua como uma cópia padrão do binário Cron em distribuições Ubuntu. Já o “/memfd:wpn” age como carregador do rootkit, ativando-o caso as condições de execução sejam atendidas. Cada estágio do ataque é projetado para ocultar a presença do malware, utilizando arquivos que residem na memória e analisando cuidadosamente o sistema antes de liberar o rootkit. A Elastic destacou que a sofisticação do PUMAKIT reflete um avanço significativo na complexidade das ameaças direcionadas a sistemas Linux. Com sua abordagem modular e táticas de evasão, ele representa um risco crescente para infraestruturas baseadas nesse sistema operacional.

Leia mais na mesma categoria:

CibercriminososNotícias