Se ha descubierto que el nuevo malware OrBit que se encarga de robar información en los sistemas Linux a través de una puerta trasera, pero además, infecta todos los procesos de ejecución de los dispositivos. Según los investigadores de seguridad, Intezer Labs, quienes fueron los que lo detectaron argumentaron que secuestra bibliotecas compartidas para interceptar llamadas a funciones modificando la variable de entorno LD_PRELOAD en dispositivos comprometidos.
El malware OrBit cuenta con dos métodos diferentes para bloquear los intentos de su eliminación si es descubierto, lo que lo hace aún más peligroso. Tiene la capacidad de conectar varias funciones para evadir la detección y hasta controla el comportamiento del proceso, de está forma se encarga de infectar los nuevos procesos que se inician en los dispositivos.
El malware OrBit dirigido a Linux roba tu información y es difícil de eliminarlo
OrBit es tan sofisticado que tiene la capacidad de que cuando se inyecta en un proceso en ejecución, el malware puede manipular su salida para ocultar cualquier rastro de el. Cabe mencionar que este software malicioso no fue detectado hasta ahora por ningún antimalware si no hasta ahora que los desarrolladores han actualizado sus bases de datos.
El malware OrBit no es el primer malware peligroso que sale a la luz en Linux, anteriormente ya habíamos informado de Symbiote que también usa la directiva LD_PRELOAD para cargarse en los proceso de ejecución, de esta forma se encarga de infestar todo el sistema sin que el usuario se pueda dar cuenta.
También tenemos a BPFDoor, otro malware detectado recientemente que también se dirige a los sistemas Linux, se esconde usando los nombres de los demonios comunes de Linux, lo que lo ayudó a pasar desapercibido durante más de cinco años.
En ambos casos, los desarrolladores hacen uso de la funcionalidad de enlace BPF (Berkeley Packet Filter) para realizar un monitoreo y manipular el trafico en la red, lo que permite pode esconder todos los canales de comunicación de sus herramientas.
