Tal parece que día tras día los ciberdelincuentes se esmeran más en buscar formas de crear malwares más peligrosos y silenciosos, algo que dificulte el trabajo de los investigadores, pero nada que un buen estudio y grandes profesionales no puedan detectar.

En esta oportunidad, un grupo de investigadores descubrieron la semana pasada una nueva cepa de malware para Linux que destaca por su sigilo y sofisticación a la hora de infectar tanto servidores tradicionales como pequeños dispositivos de Internet de las cosas (IoT, por sus siglas en inglés).

Denominado Shikitega por los investigadores de AT&T Alien Labs que lo descubrieron, el malware se distribuye a través de una cadena de infección de varias etapas que utiliza codificación polimórfica. También abusa de servicios legítimos en la nube para alojar servidores de mando y control. Estas cosas hacen que la detección sea extremadamente difícil.

"Los actores de las amenazas siguen buscando formas de distribuir el malware de nuevas maneras para pasar desapercibidos y evitar su detección", escribió Ofer Caspi, investigador de AT&T Alien Labs. "El malware Shikitega se distribuye de forma sofisticada, utiliza un codificador polimórfico y distribuye su carga útil de forma gradual, revelando en cada paso sólo una parte de la carga útil total. Además, el malware abusa de servicios de alojamiento conocidos para alojar sus servidores de mando y control."

El objetivo final del malware no está claro. Deja caer el software XMRig para minar la criptomoneda Monero, por lo que el criptojacking sigiloso es una posibilidad. Pero Shikitega también descarga y ejecuta un potente paquete de Metasploit conocido como Mettle, que reúne capacidades como el control de cámaras web, el robo de credenciales y múltiples shells inversos en un paquete que se ejecuta en todo, desde "los objetivos Linux integrados más pequeños hasta los grandes". La inclusión de Mettle deja abierta la posibilidad de que la minería subrepticia de Monero no sea la única función.

El gotero principal es diminuto: un archivo ejecutable de sólo 376 bytes.

La codificación polimórfica se produce por cortesía del codificador Shikata Ga Nai, un módulo de Metasploit que facilita la codificación del shellcode entregado en las cargas útiles de Shikitega. La codificación se combina con una cadena de infección de varias etapas, en la que cada enlace responde a una parte del anterior para descargar y ejecutar el siguiente.

"Utilizando el codificador, el malware pasa por varios bucles de descodificación, en los que un bucle descodifica la siguiente capa, hasta que se descodifica y ejecuta la carga útil final del shellcode", explicó Caspi. "El semental del codificador se genera basándose en la sustitución dinámica de instrucciones y el ordenamiento dinámico de bloques. Además, los registros se seleccionan dinámicamente".

Un servidor de comandos responderá con comandos de shell adicionales para que la máquina objetivo los ejecute, como Caspi documentó en la captura de paquetes que se muestra a continuación.

Imagen de AT&T Labs

Los comandos y los archivos adicionales, como el paquete Mettle, se ejecutan automáticamente en la memoria sin ser guardados en el disco. Esto añade más sigilo al dificultar la detección a través de la protección antivirus.

Para maximizar su control sobre el dispositivo comprometido, Shikitega aprovecha dos vulnerabilidades críticas de escalada de privilegios que dan acceso total a la raíz. Uno de los fallos, rastreado como CVE-2021-4034 y conocido coloquialmente como PwnKit, estuvo al acecho en el kernel de Linux durante 12 años hasta que fue descubierto a principios de este año. La otra vulnerabilidad se registra como CVE-2021-3493 y salió a la luz en abril de 2021.

Aunque ambas vulnerabilidades han recibido parches, es posible que las correcciones no se instalen de forma generalizada, especialmente en los dispositivos IoT.

El post proporciona hashes de archivos y dominios asociados a Shikitega que los interesados pueden utilizar como indicadores de un compromiso. Teniendo en cuenta el trabajo que los desconocidos responsables de la amenaza han dedicado a la ocultación del malware, no sería de extrañar que el malware esté al acecho sin ser detectado en algunos sistemas.