Han descubierto un nuevo malware en Linux: "es mucho más avanzado de lo habitual"

Durante años, el mito de que macOS y los sistemas operativos basados en Linux eran infalibles a los virus corrió por Internet. Parecía que solo el Windows de Microsoft era vulnerable a las amenazas cibernéticas. Si bien es cierto que la mayoría de malware está diseñado para atacar el software desarrollado por la compañía cofundada por Bill Gates, la explicación es muy simple: es el más utilizado en todo el mundo.

Debido a que cientos de millones de personas usan ordenadores con Windows, los hackers y otros actores maliciosos centran todos sus esfuerzos en crear gusanos, troyanos, ransomware, spyware y otros tipos de peligros digitales para este sistema operativo (al que, por cierto, le está costando que la gente deje de lado Windows 10 para actualizar a Windows 11, la última versión).

Con el tiempo, esta creencia se ha desmitificado. macOS y las distribuciones Linux también son propensas a infectarse, aunque las probabilidades sean bastante más bajas que con un ordenador Windows. No obstante, de vez en cuando aparece una nueva amenaza que obliga a los usuarios a ir con los ojos bien abiertos. En este caso, le ha tocado a los de Linux con el malware VoidLink.

Los desarrolladores tienen planes de añadir detecciones para HUAWEI

Los investigadores han descubierto un nuevo framework que destaca por las capacidades avanzadas que brinda a los atacantes, permitiendo atacar como nunca antes se ha visto a equipos con Linux. Conocido como VoidLink, incluye más de 30 módulos que permiten personalizar las capacidades según las necesidades de los atacantes en cada equipo infectado.

Debido a que los componentes se pueden añadir o eliminar fácilmente según cambien los objetivos durante una campaña de ataque, los módulos podrían proporcionar sigilo adicional, herramientas específicas para reconocimiento o escalada de privilegios, entre otros. VoidLink es capaz de atacar máquinas dentro de servicios en la nube populares al detectar si una máquina infectada está alojada en Amazon Web Services, Google Cloud, Microsoft Azure, Alibaba y Tencent.

Algunos expertos han alertado de indicios que apuntan a que los desarrolladores planean añadir detecciones para HUAWEI, DigitalOcean y Vultur en futuras versiones. Para detectar qué servicio de nube aloja la máquina, VoidLink examina los metadatos mediante la API del proveedor correspondiente.

Este tipo de frameworks llevan años acechando a los servidores con Windows, pero eran mucho menos comunes en equipos Linux. Los investigadores de la empresa de seguridad que descubrió VoidLink, Checkpoint, aseguran que su conjunto de características lo hacen "mucho más avanzado que el malware típico de Linux".

En una publicación aparte, la empresa informó que "VoidLink es un ecosistema integral diseñado para mantener acceso sigiloso a largo plazo a sistemas Linux comprometidos, en particular a aquellos que se ejecutan en plataformas de nube pública y en entornos de contenedores. Su diseño refleja un nivel de planificación e inversión típicamente asociado con actores de amenazas profesionales, en lugar de atacantes oportunistas, lo que aumenta el riesgo para los defensores que podrían darse cuenta de que su infraestructura ha sido usurpada silenciosamente".

Se cree que VoidLink no está atacando activamente las máquinas ahora mismo, por lo que los profesionales de la ciberseguridad no tendrían por qué tomar medidas inmediatas. No obstante, eso no quiere decir que no sea necesario asegurar las máquinas que ejecuten Linux, con el objetivo de minimizar los posibles daños.