Novo malware Linux chamado ‘sedexp’ emprega regras Udev para ocultar skimmers de cartões de crédito
Especialistas em segurança cibernética identificaram um malware Linux disfarçado, que se destaca por usar técnicas pouco comuns para manter-se nos sistemas contaminados e dissimular skimmers de cartões de crédito. A equipe da Stroz Friedberg da Aon, que trata de resposta a incidentes, nomeou a ameaça de “sedexp”.
Segundo os pesquisadores Zachary Reichert, Daniel Stein e Joshua Pivirotto, essa ameaça está ativa desde 2022 e opera disfarçadamente, fornecendo aos invasores uma série de recursos avançados para permanecer não detectada.
O malware se utiliza de regras udev – substituto do Device File System – para conseguir persistir. O udev permite identificar e configurar dispositivos com base em suas propriedades e responder automaticamente a mudanças no estado deles, como quando são conectados ou desconectados.
As regras udev do sedexp executam o malware toda vez que o arquivo /dev/random (minor number 8) é acessado, o que ocorre normalmente a cada reinicialização do sistema.
Além de iniciar um shell reverso, permitindo acesso remoto ao sistema comprometido, o sedexp pode modificar a memória para esconder arquivos que contenham o termo “sedexp” da visualização em comandos como ls ou find. Stroz Friedberg observa que o malware foi utilizado para ocultar web shells, arquivos de configuração modificados do Apache e a própria regra udev.
A atividade do malware indica uma tentativa de obter ganhos financeiros, exemplificada pelo uso em skimming de cartões em servidores web. Isso mostra a complexidade crescente dos agentes de ameaças focados em lucro, que não se limitam apenas a práticas como ransomware.
Fique atualizado com as últimas notícias em segurança cibernética seguindo-nos no Twitter e LinkedIn ou visite o TecMania para mais informações.
