Recientemente, se ha identificado una campaña de distribución de malware dirigida a sistemas Linux, donde el vector principal de ataque son paquetes .deb maliciosos. Estos paquetes son utilizados en distribuciones basadas en Debian y Ubuntu. Cuando se instala uno de estos paquetes, el sistema se compromete de forma silenciosa y efectiva.
¿Cómo funciona el ataque?
- Distribución del paquete malicioso: Los cibercriminales preparan un paquete .deb (el formato estándar para la instalación en sistemas Debian, Ubuntu y derivados).
- Fuentes no oficiales: Este archivo se distribuye a través de fuentes no oficiales, como repositorios falsos, enlaces engañosos o descargas directas disfrazadas de software legítimo.
- Ejecución sigilosa: Una vez que el usuario instala él .deb, se ejecutan scripts de postinstalación que inyectan el malware en el sistema. Es aquí donde los cibercriminales aprovechan para establecer un acceso inicial y descargar componentes adicionales.
- Acceso remoto: Se altera la configuración de SSH, habilitando el acceso directo a root. Esto garantiza un control remoto inmediato para el atacante.
- Instalación del agente C2: El malware instala un agente tipo Sliver (una herramienta C2 utilizada en operaciones ofensivas). Esto permite a los cibercriminales enviar comandos y controlar el host de forma continua.
- Evasión de detección: El módulo de descarga requiere una contraseña especial para ejecutarse, lo que dificulta que analistas lo estudien en un sandbox. Además, utilizan Dropbox como canal de mando y control (C2), lo que es muy inteligente, ya que la comunicación se esconde dentro de tráfico que parece ser legítimo.
- Parche de la brecha: Después de explotar la vulnerabilidad inicial, el malware aplica un parche legítimo desde repositorios oficiales. Esto logra dos cosas: bloquear a otros cibercriminales que pudieran querer explotar la misma falla y hacer más difícil que los defensores entiendan cómo se originó el ataque.
- Instalación de la carga útil: Dependiendo del interés del cibercriminal, puede instalar software adicional como ransomware, botnets, entre otros.
¿Por qué es importante esta amenaza?
El hecho de que el malware parchea la brecha que ellos mismos explotan demuestra que buscan exclusividad en el acceso al sistema. Esto hace más difícil la detección por parte de los defensores y complica que otros atacantes aprovechen la misma vulnerabilidad. Además, desviar el tráfico hacia Dropbox o plataformas similares es una técnica de evasión muy efectiva, ya que el tráfico parece normal y pasa desapercibido en muchas defensas.
Recomendaciones
- Utiliza exclusivamente los repositorios oficiales de tu distribución (Debian, Ubuntu, etc.) o sitios verificados de los desarrolladores.
- Evita instalar archivos .deb obtenidos de foros, correos electrónicos o sitios de terceros.
- Comprueba las firmas GPG y los hashes (SHA256/512) antes de instalar software descargado manualmente.
- Revisa las conexiones salientes hacia Dropbox u otros servicios poco comunes en tus servidores.
