Utiliza mecanismos de evasión y persistencia que permiten que sus operaciones sigan siendo sólidas y sigilosas
Un malware de botnet de Linux conocido como XorDdos ha sido testigo de un aumento del 254% en la actividad en los últimos seis meses, según las últimas investigaciones de Microsoft.
Se sabe que el troyano, llamado así por llevar a cabo ataques de denegación de servicio en sistemas Linux y su uso de cifrado basado en XOR para las comunicaciones con su servidor de comando y control (C2), ha estado activo desde al menos 2014.
"La naturaleza modular de XorDdos proporciona a los atacantes un troyano versátil capaz de infectar una variedad de arquitecturas de sistemas Linux", dijeron Ratnesh Pandey, Yevgeny Kulakov y Jonathan Bar Or del equipo de investigación de Microsoft 365 Defender en una exhaustiva inmersión profunda del malware.
"Sus ataques de fuerza bruta SSH son una técnica relativamente simple pero efectiva para obtener acceso como root sobre una serie de potenciales objetivos".
El control remoto sobre IoTs vulnerables y otros dispositivos conectados a Internet se obtiene mediante ataques de fuerza bruta de shell seguro (SSH), lo que permite que el malware forme una red de bots capaz de transportar ataques de denegación de servicio distribuido (DDoS).
Además de estar compilado para arquitecturas ARM, x86 y x64, el malware está diseñado para admitir diferentes distribuciones de Linux, sin mencionar que viene con funciones para desviar información confidencial, instalar un rootkit y actuar como un vector para actividades de seguimiento.
En otra señal de que el malware podría actuar como conducto para otras amenazas, los dispositivos que originalmente fueron violados con XorDdos se infectan posteriormente con otro troyano de Linux llamado Tsunami, que luego implementa el minero de monedas XMRig.
En los últimos años, XorDdos se ha centrado en servidores Docker desprotegidos con puertos expuestos (2375), utilizando sistemas victimizados para abrumar una red o servicio de destino con tráfico falso para volverlo inaccesible.
Desde entonces, XorDdos se ha convertido en la principal amenaza dirigida a Linux en 2021, seguida de Mirai y Mozi, que representan más del 22% de todo el malware de IoT observado en la naturaleza, según la empresa de ciberseguridad CrowdStrike.
"XorDdos utiliza mecanismos de evasión y persistencia que permiten que sus operaciones sigan siendo sólidas y sigilosas", señalaron los investigadores.
"Sus capacidades de evasión incluyen ofuscar las actividades del malware, evadir los mecanismos de detección basados en reglas y la búsqueda de archivos maliciosos basada en hash, así como el uso de técnicas anti-forenses para romper el análisis basado en árboles de procesos".
