El malware Lightning Framework instala rootkits y puertas traseras en los sistemas Linux

El nuevo y sofisticado malware Lightning Framework tiene la capacidad de infectar sistemas Linux con puertas traseras usando SSH y además, instalar rootkits con el objetivo de evitar que sus atacantes sean descubiertos. Según el reciente informe, este nuevo software malicioso ha sido descrito como una navaja suiza, ya que se trata de una malware modular y también cuenta con soporte para complementos.

El malware Lightning Framework ha sido desarrollado haciendo uso de una simple estructura, cuenta con un componente de descarga que se encargará de descargar e instalar los otros complementos del malware, incluyendo el modulo central del software en los sistemas Linux.

Sale a la luz el nuevo malware Lightning Framework dirigido a sistemas Linux

Este malware hace uso de typosquatting y se hará pasar por una administrador de contraseñas y claves de cifrado de Seahorse GNOME para lograr evadir la detección en los sistemas infectados. Para aclaración, typosquatting se trata de una ciberocupación que se basa en los errores tipográficos cometidos por usuarios de internet cuando introducen la dirección de un sitio web en un navegador.

Luego de que el malware logra comunicarse con el servidor de comandos y control (C2) a través de sockets TCP, Lightning Framework obtiene todos sus complementos y hasta su modulo central.

El modulo central de este malware se llama kkdmflush y se encarga de recibir los comandos desde su servidor C2 y ejecutar los completos en los sistemas operativos Linux.

Otro de los mecanismos que tiene este nuevo malware para lograr penetrar los sistemas, es con la alteración de las marcas de tiempo mediante el uso de sellos temporales y la ocultación de su ID de proceso PID y cualquier otro puerto de red relacionado mediante el complemento rootkits.

También puede lograr la persistencia mediante la creación de un script llamado elastisearch en /etc/rc.d/init.d/ que se ejecuta en cada arranque del sistema para iniciar el módulo de descarga y volver a infectar el dispositivo. Por último, pero no menos importante, este malware también agregará su propia puerta trasera basada en SSH iniciando un servidor SSH usando uno de los complementos descargados (Linux.Plugin.Lightning.Sshd).

Oleada de malware para Linux

Por supuesto, el malware Lightning Framework es solo uno de los tantos malware que han comenzado a proliferarse en los sistemas operativos Linux implementando puertas traseras. Por otra parte, los investigadores de seguridad también detectaron otro malware llamado OrBit que se dedica a secuestrar bibliotecas compartidas para interceptar llamadas a funciones para robar información de sistemas Linux con puerta trasera e infectar todos los procesos en ejecución.

Esto significa que el sistema operativo Linux ya no está exento de ataques maliciosos, por lo tanto, si usted usuario de este fantástico sistema operativo, debería tener precaución.