Se ha descubierto un nuevo troyano que infecta a sistemas Linux, posiblemente con el fin de conjuntar dispositivos para ser utilizados como herramientas para ataques DDoS, de acuerdo a una publicación en el blog de Avast.

La nueva amenaza, XORG.DDoS, altera la instalación dependiendo del ambiente Linux de la víctima para después instalar un rootkit (conjunto de herramientas usadas por intrusos informáticos) para evitar la detección.

Aunque un troyano similar se ha visto en sistemas Windows, el analista de malware de Avast, Peter Kálnai, mencionó el miércoles en una entrevista con SCMagazine.com que este troyano se adentra a un territorio desconocido al tener como objetivos sistemas Linux. "Es muy difícil colocar un rootkit sin una unión a Linux debido a que necesita estar de acuerdo con las versiones de los sistemas operativos de las víctimas". Mencionó Kálnai

Los atacantes utilizaron XOR.DDoS aprovechándose de los usuarios que no cambiaron los inicios de sesión que vienen por defecto para sus dispositivos a través de ataques de fuerza bruta contra varios identificadores de red. Si se tiene éxito, el troyano determinará si es compatible con las cabeceras del kernel instalado en los sistemas de las víctimas, instalándose así el rootkit.

"El rootkit oculta todos los archivos que son indicadores de infección, por lo que las víctimas no podrían ver esos indicadores", explicó Kálnai. "También oculta los procesos y otros indicadores de compromiso".

Kálnai mencionó que el ataque del rootkit fue visto por primera vez alrededor de octubre de 2014. El troyano en sí fue detallado inicialmente en Malware must die en septiembre de 2014.

El troyano y sus variantes pueden afectar servidores web de 32 y 64 bits y equipos de escritorio, al igual que arquitecturas ARM, lo que podría indicar que los routers, dispositivos del Internet de las cosas (IoT), almacenadores NAS y servidores ARM de 32 bits, podrían verse afectados también, mencionó la publicación.

No se han detectado muchas infecciones, sin embargo aquellos detectados no siguen un patrón en particular. Tanto empresas como individuos podrían estar siendo afectados. Kálnai se percató de que los usuarios particulares deben ser especialmente conscientes de la amenaza, ya que las empresas suelen tener medidas de seguridad más robustas.

El analista de Avast observó un pequeño grupo que podría estar detrás de las infecciones pues el troyano no ha sido visto en foros.