Expertos de la empresa japonesa Trend Micro, especializada en temas de ciberseguridad, han descubierto el malware SprySOCKS que se ha comenzado a usar para atacar ordenadores con sistemas Linux.
El nuevo malware proviene de la puerta trasera de Windows Trochilus descubierta por investigadores de Arbor Networks en 2015: Se inicia y ejecuta solo en la memoria y su carga útil no se almacena en los discos, lo que dificulta mucho la detección.
En junio de este año, los investigadores de Trend Micro descubrieron un archivo en un servidor llamado “libmonitor.so.2” que era utilizado por un grupo cuyas actividades habían estado rastreando desde 2021.
En la base de datos de VirusTotal, encontraron un archivo ejecutable asociado “mkmon” que ayudó a descifrar “libmonitor.so.2” y revelar su carga útil.
Resultó ser un malware complejo para Linux, cuya funcionalidad corresponde parcialmente a las capacidades de Trochilus y tiene una implementación original del protocolo Socket Secure (SOCKS), por lo que el malware recibió el nombre SprySOCKS.
Permite recopilar información sobre el sistema, iniciar la interfaz de comando (shell) para control remoto, crear una lista de conexiones de red, proporcionar un servidor proxy basado en el protocolo SOCKS para transferir datos entre el sistema comprometido y el servidor de comando del atacante.
La indicación de las versiones del malware sugiere que aún está en desarrollo.
Los investigadores sospechan que SprySOCKS es utilizado por piratas informáticos del grupo Earth-Lusca; fue descubierto por primera vez en 2021 y apareció en la lista de ciberdelincuentes un año después. El grupo utiliza métodos de ingeniería social para infectar sistemas.
SprySOCKS instala los paquetes Cobalt Strike y Winnti como cargas útiles. El primero es un kit para encontrar y explotar vulnerabilidades. el segundo, que tiene más de diez años, contacta con las autoridades chinas.
Existe una versión de que el grupo Earth-Lusca, que trabaja principalmente con fines asiáticos, tiene como objetivo robar fondos; puesto que sus víctimas suelen ser empresas de juegos de azar y criptomonedas.