Pesquisadores da Trend Micro descobriram um trojan de acesso remoto para Linux, batizado de Quasar Linux (QLNX). O malware foi identificado após o sistema de inteligência da empresa sinalizar uma amostra com detecção praticamente nula nos antivírus. Projetado para infectar máquinas de desenvolvedores, ele rouba credenciais de repositórios de código, ambientes de nuvem e registros públicos de pacotes como NPM e PyPI.
O QLNX não é um vírus comum. Ele funciona como uma ferramenta de espionagem e controle completo, capaz de operar por meses dentro de um sistema sem ser detectado. Uma vez instalado, o atacante consegue publicar pacotes maliciosos em nome da vítima, invadir infraestruturas de nuvem e se mover lateralmente por servidores conectados à máquina comprometida.
Malware apaga o próprio rastro logo após a execução
O primeiro movimento do QLNX ao rodar é copiar a si mesmo para a memória RAM do computador, reexecutar a partir desse espaço e apagar o arquivo original do disco. Basicamente, depois desse processo, não existe nenhum arquivo para um investigador encontrar. Toda a operação acontece a partir da memória, sem deixar rastro em disco.
Para não chamar atenção, o malware também renomeia o próprio processo para imitar nomes de funções legítimas do sistema operacional Linux, como [kworker/0:0] ou [watchdog/0]. Isso porque ferramentas comuns de monitoramento, como o comando ps, mostrariam apenas um nome aparentemente inocente ao administrador do sistema. A camuflagem é aplicada em três lugares diferentes ao mesmo tempo para garantir consistência.
You must be logged in to post a comment Login