Pesquisadores descobriram um novo malware desenvolvido especialmente para Linux que compromete o funcionamento de servidores web, injetando código malicioso em todas as páginas. A praga tenta se esconder do administrador do servidor e, como o rootkit foi feito para não aparecer na lista de processos do sistema, sua detecção é um pouquinho mais difícil.

O rootkit foi inicialmente publicado no dia 13 de novembro por um participante da lista de emails Full Disclosure. Segundo ele, alguns clientes reclamaram que estavam sendo redirecionados para sites maliciosos. Após passar algum tempo procurando pelo malware, ele descobriu dois processos ocultos em sua máquina, que roda Debian Squeeze e servidor web nginx 1.2.3.

A empresa de segurança CrowdStrike analisou o malware e afirmou que, aparentemente, a praga é nova e não apenas uma modificação de um rootkit já existente. Segundo a empresa, o desenvolvedor do malware tem pouca experiência no assunto — a análise revela que a qualidade do código não é das melhores e a técnica de se esconder da lista de processos não funciona muito bem.

O malware divulgado na lista Full Disclosure é um módulo compilado para o kernel Linux 2.6.32-5, a versão mais recente do Debian Squeeze. Uma especialista em segurança da Kaspersky explica que ele substitui a função tcp_sendmsg, que constrói pacotes TCP. Usando uma função alterada, é possível injetar código malicioso diretamente no tráfego de saída do servidor.

Cena rara: antivírus para Windows detectando malware para Linux. Geralmente é o contrário.

Um artigo completo sobre o rootkit está no blog da CrowdStrike. Ainda não se sabe como o servidor foi infectado. A Kaspersky adicionou a detecção do malware em seu antivírus e outras empresas de segurança também — o Windows Defender já detecta a ameaça como Trojan:Linux/Snakso.A.

Com informações: CRN, CrowdStrike, G1.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Canal Exclusivo

Relacionados

Como detectar e remover um rootkit [Windows/Mac]
Como detectar e remover um rootkit [Windows/Mac]
O que é rootkit?
O que é rootkit?
Malware sofisticado é descoberto em placas-mãe da Asus e Gigabyte
Malware sofisticado é descoberto em placas-mãe da Asus e Gigabyte
O que é Linux? [Guia para iniciantes]
O que é Linux? [Guia para iniciantes]
Afinal, a distro SUSE Linux é paga ou gratuita?
Afinal, a distro SUSE Linux é paga ou gratuita?
Antivírus para Linux: 5 opções para uso doméstico e empresarial
Antivírus para Linux: 5 opções para uso doméstico e empresarial
Kali Linux 2022.4: distribuição “hacker” reforça recursos e roda até no Azure
Kali Linux 2022.4: distribuição “hacker” reforça recursos e roda até no Azure
Como criar um pendrive bootável com uma distro do Linux
Como criar um pendrive bootável com uma distro do Linux
Como usar o Telegram no PC [Windows, macOS e Linux]
Como usar o Telegram no PC [Windows, macOS e Linux]
Linux Mint 20.2 é lançado com melhorias e kernel 5.4
Linux Mint 20.2 é lançado com melhorias e kernel 5.4