Pesquisadores de cibersegurança descobriram um novo malware furtivo para Linux, apelidado de “sedexp”, que utiliza uma técnica incomum para manter a persistência em sistemas infectados e esconder código de roubo de cartões de crédito. O sedexp, ativo desde 2022, se destaca por sua capacidade de se disfarçar enquanto fornece aos atacantes funcionalidades de shell reverso e táticas avançadas de ocultação. Segundo os pesquisadores Zachary Reichert, Daniel Stein e Joshua Pivirotto, o malware aproveita técnicas inovadoras para evitar a detecção, o que não é surpreendente, dado que atores maliciosos estão constantemente aprimorando suas habilidades.

O que torna o sedexp particularmente notável é o uso de regras do udev para manter a persistência no sistema. O udev, um substituto para o Sistema de Arquivos de Dispositivos, oferece um mecanismo para identificar dispositivos com base em suas propriedades e configurar regras para responder a mudanças no estado do dispositivo, como quando um dispositivo é conectado ou removido. Cada linha no arquivo de regras do udev possui pelo menos um par chave-valor, permitindo que dispositivos sejam identificados pelo nome e que ações sejam disparadas quando eventos específicos são detectados.

No caso do sedexp, a regra udev é configurada para executar o malware sempre que o dispositivo /dev/random, que corresponde ao número menor do dispositivo 8, é carregado, o que geralmente ocorre a cada reinicialização do sistema. A descoberta do sedexp demonstra o crescente nível de sofisticação dos atores de ameaças financeiras, que vão além do uso de ransomware, explorando novas técnicas para atingir seus objetivos.