• Se ha descubierto un nuevo marco de malware para Linux llamado VoidLink.
  • VoidLink incluye más de 30 módulos avanzados para espionaje, escalada de privilegios y movimiento lateral.
  • El malware se enfoca en sistemas Linux en la nube (AWS, GCP, Azure) y parece tener origen en un entorno de desarrollo chino.

Investigadores de seguridad han identificado un sofisticado marco de malware para sistemas Linux, denominado VoidLink, que destaca por su avanzada gama de capacidades y su enfoque en entornos de nube. Este descubrimiento representa un avance significativo en la amenaza de malware para Linux, superando con creces las herramientas típicas.

VoidLink: Un ecosistema modular para Linux

VoidLink se presenta como un ecosistema completo, diseñado para mantener un acceso sigiloso y a largo plazo a sistemas Linux comprometidos, especialmente aquellos desplegados en plataformas de nube públicas y entornos contenerizados. El marco cuenta con más de 30 módulos que permiten a los atacantes personalizar sus capacidades según las necesidades de cada máquina infectada. Estos módulos facilitan la implementación de sigilo adicional y herramientas específicas para reconocimiento, escalada de privilegios y movimiento lateral dentro de una red comprometida. La modularidad permite añadir o eliminar componentes fácilmente a medida que cambian los objetivos durante una campaña.

Capacidades avanzadas y enfoque en la nube

Una de las características más notables de VoidLink es su capacidad para detectar y dirigirse a máquinas dentro de servicios de nube populares como AWS, GCP y Azure, con planes de expandirse a otras plataformas. Dado el enfoque en plataformas como Azure, es importante destacar cómo Microsoft se defiende de las amenazas. Puedes encontrar información sobre cómo Microsoft neutraliza ataques en la nube aquí: Microsoft neutraliza un masivo ataque DDoS contra Azure. Para lograr esto, el malware examina metadatos utilizando las APIs específicas de cada proveedor. La investigación sugiere que el desarrollo de VoidLink está en curso, con símbolos y comentarios en el código fuente que apuntan a un origen en un entorno de desarrollo afiliado a China. A pesar de su sofisticación, no se han encontrado indicios de que VoidLink haya infectado máquinas activamente en la naturaleza.

Comando y control y técnicas de sigilo

El diseño de VoidLink refleja un nivel de planificación e inversión que generalmente se asocia con actores de amenazas profesionales. Incluye funciones de rootkit que permiten al malware integrarse con la actividad normal del sistema, dificultando su detección. El sistema de comando y control se implementa a través de conexiones de red salientes que parecen legítimas. Además, VoidLink emplea técnicas anti-análisis, como la anti-depuración y comprobaciones de integridad, para evadir herramientas de análisis comunes. Su sistema de plugins permite que el implante evolucione hacia un marco de post-explotación completo.

Recopilación de credenciales y perfilado del sistema

El marco ofrece capacidades de reconocimiento exhaustivas, recopilando información detallada sobre el sistema infectado, incluyendo su hipervisor, si se ejecuta en un contenedor Docker o pod de Kubernetes, y mapeando la topología de red local. También se especializa en la recolección de credenciales, incluyendo claves SSH, contraseñas de navegadores, credenciales de Git y tokens de autenticación. Dado que VoidLink apunta a la recolección de contraseñas, es crucial mantener contraseñas fuertes. Puedes aprender más sobre la importancia de contraseñas seguras aquí: La culpa de tus contraseñas débiles es de las webs, según un estudio. Aunque no hay una amenaza inmediata, los defensores deben mantener la vigilancia y aplicar las mejores prácticas de seguridad en sus sistemas Linux.