🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de um novo backdoor do Linux chamado PamDOORa que está sendo anunciado no fórum russo de crimes cibernéticos Rehub por US$ 1.600 por um ator de ameaça chamado “darkworm”.
O backdoor foi projetado como um kit de ferramentas pós-exploração baseado em Pluggable Authentication Module (PAM) que permite acesso SSH persistente por meio de uma senha mágica e uma combinação específica de porta TCP. Também é capaz de coletar credenciais de todos os usuários legítimos que se autenticam por meio do sistema comprometido.
“A ferramenta, chamada PamDOORa, é um novo backdoor baseado em PAM, projetado para servir como backdoor pós-exploração, permitindo autenticação para servidores via OpenSSH”, disse o pesquisador do Flare.io, Assaf Morag, em um relatório técnico. "Supostamente isso permaneceria persistente em sistemas Linux (x86_64)."
PamDOORa é o segundo backdoor do Linux direcionado à pilha PAM depois do Plague. PAM é uma estrutura de segurança em sistemas operacionais Unix/Linux que concede aos administradores de sistema a capacidade de incorporar vários mecanismos de autenticação ou atualizá-los (por exemplo, mudar de senhas para biometria) em um sistema existente através do uso de módulos conectáveis sem a necessidade de reescrever aplicativos existentes.
Como os módulos PAM normalmente são executados com privilégios de root, um módulo comprometido, mal configurado ou malicioso pode apresentar riscos de segurança significativos e abrir a porta para coleta de credenciais e acesso não autorizado.
“Apesar de seus pontos fortes, a modularidade do Pluggable Authentication Module (PAM) apresenta riscos, pois modificações maliciosas nos módulos PAM podem criar backdoors ou roubar credenciais do usuário, especialmente porque o PAM não armazena senhas, mas transmite valores em texto simples”, observou o Group-IB em setembro de 2024.
“O módulo pam_exec, que permite a execução de comandos externos, pode ser explorado por invasores para obter acesso não autorizado ou estabelecer controle persistente injetando scripts maliciosos nos arquivos de configuração do PAM.”
O fornecedor de segurança de Cingapura também detalhou como é possível manipular a configuração do PAM para autenticação SSH para executar um script via pam_exec, permitindo efetivamente que um malfeitor obtenha um shell privilegiado em um host e facilite a persistência furtiva.
As últimas descobertas do Flare.io mostram que o PamDOORa, além de permitir o roubo de credenciais, incorpora recursos anti-forenses para adulterar metodicamente os logs de autenticação para apagar vestígios de atividades maliciosas.
Embora não haja evidências de que o malware tenha sido usado em ataques do mundo real, as cadeias de infecção que distribuem o malware provavelmente envolverão o adversário primeiro obtendo acesso root ao host por outros meios e implantando o módulo PamDOORa PAM para capturar credenciais e estabelecer acesso persistente por SSH.
Depois de um preço inicial de US$ 1.600 em 17 de março de 2026, a persona “darkworm” o reduziu em quase 50%, para US$ 900 em 9 de abril, indicando falta de interesse do comprador ou intenção de acelerar uma venda.
“PamDOORa representa uma evolução em relação aos backdoors PAM de código aberto existentes”, explicou Morag. "Embora as técnicas individuais (ganchos PAM, captura de credenciais, adulteração de logs) sejam bem documentadas, a integração em um implante modular coeso com gatilhos antidepuração e com reconhecimento de rede e um pipeline de construtor o coloca mais próximo das ferramentas de nível de operador do que os scripts brutos de prova de conceito encontrados na maioria dos repositórios públicos."
O backdoor foi projetado como um kit de ferramentas pós-exploração baseado em Pluggable Authentication Module (PAM) que permite acesso SSH persistente por meio de uma senha mágica e uma combinação específica de porta TCP. Também é capaz de coletar credenciais de todos os usuários legítimos que se autenticam por meio do sistema comprometido.
“A ferramenta, chamada PamDOORa, é um novo backdoor baseado em PAM, projetado para servir como backdoor pós-exploração, permitindo autenticação para servidores via OpenSSH”, disse o pesquisador do Flare.io, Assaf Morag, em um relatório técnico. "Supostamente isso permaneceria persistente em sistemas Linux (x86_64)."
PamDOORa é o segundo backdoor do Linux direcionado à pilha PAM depois do Plague. PAM é uma estrutura de segurança em sistemas operacionais Unix/Linux que concede aos administradores de sistema a capacidade de incorporar vários mecanismos de autenticação ou atualizá-los (por exemplo, mudar de senhas para biometria) em um sistema existente através do uso de módulos conectáveis sem a necessidade de reescrever aplicativos existentes.
Como os módulos PAM normalmente são executados com privilégios de root, um módulo comprometido, mal configurado ou malicioso pode apresentar riscos de segurança significativos e abrir a porta para coleta de credenciais e acesso não autorizado.
“Apesar de seus pontos fortes, a modularidade do Pluggable Authentication Module (PAM) apresenta riscos, pois modificações maliciosas nos módulos PAM podem criar backdoors ou roubar credenciais do usuário, especialmente porque o PAM não armazena senhas, mas transmite valores em texto simples”, observou o Group-IB em setembro de 2024.
“O módulo pam_exec, que permite a execução de comandos externos, pode ser explorado por invasores para obter acesso não autorizado ou estabelecer controle persistente injetando scripts maliciosos nos arquivos de configuração do PAM.”
O fornecedor de segurança de Cingapura também detalhou como é possível manipular a configuração do PAM para autenticação SSH para executar um script via pam_exec, permitindo efetivamente que um malfeitor obtenha um shell privilegiado em um host e facilite a persistência furtiva.
As últimas descobertas do Flare.io mostram que o PamDOORa, além de permitir o roubo de credenciais, incorpora recursos anti-forenses para adulterar metodicamente os logs de autenticação para apagar vestígios de atividades maliciosas.
Embora não haja evidências de que o malware tenha sido usado em ataques do mundo real, as cadeias de infecção que distribuem o malware provavelmente envolverão o adversário primeiro obtendo acesso root ao host por outros meios e implantando o módulo PamDOORa PAM para capturar credenciais e estabelecer acesso persistente por SSH.
Depois de um preço inicial de US$ 1.600 em 17 de março de 2026, a persona “darkworm” o reduziu em quase 50%, para US$ 900 em 9 de abril, indicando falta de interesse do comprador ou intenção de acelerar uma venda.
“PamDOORa representa uma evolução em relação aos backdoors PAM de código aberto existentes”, explicou Morag. "Embora as técnicas individuais (ganchos PAM, captura de credenciais, adulteração de logs) sejam bem documentadas, a integração em um implante modular coeso com gatilhos antidepuração e com reconhecimento de rede e um pipeline de construtor o coloca mais próximo das ferramentas de nível de operador do que os scripts brutos de prova de conceito encontrados na maioria dos repositórios públicos."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #backdoor #linux #pamdoora #usa #módulos #pam #para #roubar #credenciais #ssh
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário