El malware aún está activo y tiene una tasa de detección de cero en todos los principales sistemas antivirus.
• A diferencia del malware de Linux común, HiddenWasp no está enfocado en la criptografía o la actividad DDoS. Es un troyano puramente usado para control remoto dirigido .
• La evidencia muestra una alta probabilidad de que el malware se use en ataques dirigidos para las víctimas que ya están bajo el control del atacante, o que han pasado por un gran reconocimiento.
• Los autores de HiddenWasp han adoptado una gran cantidad de código de varios programas maliciosos de código abierto disponibles públicamente, como Mirai y el rootkit de Azazel . Además, hay algunas similitudes entre este malware y otras familias de malware chino , sin embargo, la atribución se realiza con poca confianza.
Introducción
A pesar de que el ecosistema de amenazas de Linux está lleno de botnets DDoS IoT y malware criptográfico, no es muy común detectar troyanos o puertas traseras en la naturaleza.
A diferencia del malware de Windows, los autores de malware de Linux no parecen invertir demasiado esfuerzo en escribir sus implantes. En un ecosistema de código abierto, existe una alta proporción de código disponible públicamente que los atacantes pueden copiar y adaptar.
Además, las soluciones antivirus para Linux tienden a no ser tan resistentes como en otras plataformas. Por lo tanto, los actores de amenazas que se dirigen a los sistemas Linux están menos preocupados por la implementación de técnicas de evasión excesiva, ya que incluso cuando se reutilizan grandes cantidades de código, las amenazas pueden relativamente mantenerse bajo el radar.
Sin embargo, existe un malware con técnicas de evasión fuerte para la plataforma Linux. También hay una alta proporción de malware de código abierto disponible públicamente que utiliza técnicas de evasión fuerte y puede ser fácilmente adaptado por los atacantes.
Creemos que este hecho es alarmante para la comunidad de seguridad, ya que muchos implantes hoy en día tienen tasas de detección muy bajas, lo que hace que estas amenazas sean difíciles de detectar y responder.
Al detallar su descubrimiento, los técnicos de Intezer explicaron que el proceso de infección implica la creación de una nueva cuenta de usuario (sftp), que aparentemente servirá para permitir que los atacantes accedan al sistema infectado, incluso si el HiddenWasp ha sido removido.
Por ahora, no está claro cómo se está infectando Linux con este nuevo malware. Se sugiere que el HiddenWasp puede ser el resultado de un ataque secundario a sistemas que ya habían sido comprometidos antes de alguna forma.
