Software malicioso de Shikitega

Los ciberdelincuentes están utilizando una sofisticada amenaza de malware de Linux llamada Shikitega para obtener el control de los sistemas Linux y los dispositivos IoT (Internet de las cosas). Los atacantes aprovechan su acceso a los dispositivos violados para generar una amenaza de criptominería, pero el amplio acceso y los privilegios de raíz obtenidos facilitan que los atacantes giren y realicen acciones mucho más destructivas e intrusivas si así lo desean.

La amenaza se despliega en los dispositivos de destino a través de una compleja cadena de infección de varias etapas que consta de varios componentes de módulos diferentes. Cada módulo recibe instrucciones de la parte anterior de la carga útil de Shikitega y finaliza sus acciones descargando y ejecutando la siguiente parte.

El componente cuentagotas inicial es solo un par de cientos de bytes, lo que lo hace bastante elusivo y difícil de detectar. Ciertos módulos de la cadena de infección están diseñados para explotar las vulnerabilidades de Linux para lograr la persistencia y establecer el control sobre el sistema violado. Según un informe de los investigadores de ciberseguridad de AT&T Alien Labs que analizaron la amenaza, Shikitega abusó de las vulnerabilidades CVE-2021-3493 y CVE-2021-4034. El primero se describe como un problema de validación en el kernel de Linux que lleva a los atacantes a obtener privilegios elevados, mientras que el segundo es una vulnerabilidad de escalada de privilegios local en la utilidad pkexec de polkit. Gracias a estas vulnerabilidades, la parte final del malware Shikitega se ejecuta con privilegios de root. Otro detalle importante es que, como parte de su cadena de infección, la amenaza también entrega Mettle, una herramienta de seguridad ofensiva basada en el kit de hacking Metasploit.

Los investigadores de ciberseguridad advierten que ciertos elementos del ataque de Shikitega, como algunos de los servidores de Comando y Control (C2, C&C), están alojados en servicios legítimos de la Nube. Shikitega también utiliza un codificador polimórfico para dificultar aún más la detección por parte de las soluciones antimalware.