Pocas personas se molestarían al decir que Linux es más seguro que Windows. Sin embargo, Linux no es inmune al malware. Según un nuevo informe de seguridad, los piratas informáticos le prestan más atención en estos días.
El hallazgo se produce a través de Intezer Labs, que destacó en un informe de seguridad una campaña activa de botnet que afecta a los servidores en la nube que corren en Linux.
“Las amenazas en Linux se están volviendo más comunes. Un factor que contribuye a esto es el cambio creciente y la dependencia de los entornos en la nube, que se basan principalmente en la infraestructura de Linux. Por lo tanto, los atacantes se han adaptado en consecuencia con nuevas herramientas y técnicas diseñadas específicamente para esta infraestructura”.
En este caso es una nueva cepa de malware denominada Doki, que deriva su nombre de apuntar a servidores Docker en AWS, Azure y otras plataformas en la nube. Según el informe, ninguno de los 60 motores de detección de malware en VirusTotal tiene a Doki en su radar desde que se analizó por primera vez el 14 de enero de 2020.
Eso es sorprendente e inquietante. VirusTotal es propiedad de una subsidiaria de la compañía matriz de Google, Alphabet, y permite que cualquier persona cargue un archivo y lo inspeccionen docenas de motores de virus para ver si es potencialmente malicioso. Es una herramienta útil que he usado en muchas ocasiones en el pasado, particularmente cuando solía realizar resúmenes anuales de antivirus.
Podría haber otras amenazas como Doki en estos momento, o probablemente habrá más en un futuro cercano.
“Una técnica que se ha vuelto popular es el abuso de los puertos API de Docker mal configurados, donde los atacantes buscan servidores Docker de acceso público y los explotan para configurar sus propios contenedores y ejecutar malware en la infraestructura de la víctima”, dice el informe.
Doki es esencialmente un troyano de puerta trasera que se infiltra en servidores Linux para robar recursos para la minería de criptomonedas. Sin embargo, Intezer Labs dice que la carga útil del malware es diferente a la de un minero de criptomonedas estándar implementado en este tipo de ataque.
“Doki utiliza un método previamente indocumentado para contactar a su operador al abusar de la cadena de bloques de criptomonedas Dogecoin de una manera única para generar dinámicamente su dirección de dominio C2. El malware ha logrado permanecer bajo el radar durante más de seis meses a pesar de que las muestras están disponibles públicamente en VirusTotal “, agrega el informe.
Afortunadamente, parece ser que sera una molestia para los entornos empresariales en lugar de una molestia para los usuarios domésticos.