Uma nova variante do conhecido rootkit de kernel Linux, Diamorphine, foi recentemente identificada em operação. Conhecido por sua capacidade de se tornar invisível após o carregamento, o Diamorphine é projetado para esconder arquivos e pastas específicos, utilizando um prefixo mágico escolhido pelo atacante. Em março de 2024, os pesquisadores detectaram uma versão atualizada do Diamorphine que estava operando sem ser detectada. Esta variante foi disfarçada como o módulo legítimo x_tables do Netfilter, especificamente compilada para o kernel 5.19.17 do Linux. A análise detalhada revelou novas funcionalidades, incluindo a capacidade de parar o rootkit por meio de mensagens ao dispositivo xx_tables e a execução de comandos arbitrários através de pacotes mágicos.
Os pacotes mágicos associados a esta nova variante do Diamorphine suportam tanto IPv4 quanto IPv6 e exigem valores específicos criptografados para ativar os comandos desejados. Esta versão do rootkit foi observada em sistemas Linux com o kernel 5.19.17, como o Ubuntu 22.04 (também conhecido como Ubuntu Jammy), onde foram encontradas evidências de correspondência parcial dos símbolos do código-fonte. Comparado a versões anteriores, esta variante do Diamorphine foi armada com payloads adicionais, permitindo descarregar o módulo do kernel e executar comandos arbitrários no sistema operacional, aumentando significativamente o risco associado a este malware.
Para mitigar o risco de infecção por rootkits como o Diamorphine, medidas preventivas são essenciais. É fundamental manter os sistemas operacionais atualizados, utilizar conexões de internet seguras, evitar o download de arquivos de fontes não confiáveis e aplicar o Princípio do Menor Privilégio. Além disso, a implementação de soluções de segurança robustas, como Norton, Avast, Avira ou AVG, pode ajudar a proteger contra esses tipos de malwares avançados que exploram vulnerabilidades no kernel Linux.
A descoberta desta nova variante destaca a importância contínua da vigilância e da resposta proativa às ameaças de segurança cibernética, especialmente no ecossistema complexo e diversificado dos sistemas operacionais baseados em Linux.