Pesquisadores em segurança descobriram o que parece ser um rootkit experimental para Linux, projetado para infectar vítimas escolhidas a dedo durante um clássico ataque drive-by download em um site comprometido.
Para quem não sabe, rootkits são malwares que se camuflam no sistema para que não possam ser encontrados por antivírus.
Divulgado anonimamente no Full Disclosure em 13 de novembro por um proprietário de site irritado, o malware foi, então, confirmado pelo CrowdStrike e pela Kaspersky Lab como sendo distribuído para vítimas em potencial por meio de um ataque incomum de injeção de iFrame.
Voltado especificamente para usuários do mais recente kernel de 64 bits Debian Squeezy (2.6.32-5), o rootkit foi apelidado de “Rootkit.Linux.Snakso.a” pela Kaspersky.
Após tentar se conectar a funções importantes do kernel do Linux e tentar esconder seus rastros, o Snasko tenta, por fim, tomar o controle do sistema comprometido. Ainda não está claro o objetivo do malware.
A boa notícia é que o rootkit parece ainda estar em desenvolvimento. O tamanho do código binário do malware é relativamente grande (500k) e ele também apresenta um código de depuração – outro motivo que o classifica como “em fase de produção”.
Na visão do analista da CrowdStrike, a Rússia seria a origem mais provável do código arbitrário – o que colocaria o país no reino dos cibercriminosos profissionais.
“Considerando que o malware foi usado para injetar iframes aleatoriamente em servidores de respostas nginx, parece provável que o rootkit seja parte de uma operação genérica cibercriminosa e não um ataque com alvo específico”, observou a CrowdStrike. “No entanto, um ataque Waterhole, onde o site é amplamente visitado por um determinado público-alvo, também seria uma opção plausível.”
É nesse ponto que destacamos a complexidade do malware em focar na plataforma – sem mencionar o número irrelevante de exemplos de ataques documentados no histórico de malwares voltados para Linux.
O mais recente foi o Cavalo de Troia “Wirenet”, surgido em agosto, que roubava senhas de navegadores e foi descoberto pela empresa russa Dr. Web. Outros exemplos de ataques foram baseados em malwares Java multiplataforma.
O que é evidente é que os cibercriminosos agora possuem mais do que apenas um interesse passageiro pela plataforma e sua base de usuários. “Esse rootkit, embora ainda esteja em fase de desenvolvimento, mostra uma nova abordagem de esquema drive-by download e podemos certamente aguardar por mais malwares do tipo no futuro”, disse Marta Janus, da Kaspersky Lab.
