Novo malware Quasar Linux visa programadores

Um novo malware para Linux, denominado Quasar Linux (QLNX), está a visar sistemas de programadores e ambientes DevOps através de capacidades avançadas de rootkit, backdoor e roubo de credenciais.

A ameaça foi identificada por investigadores da Trend Micro, que alertam para o potencial impacto em cadeias de fornecimento de software, nomeadamente através da publicação de pacotes maliciosos em plataformas como npm, PyPI e GitHub.

Segundo a empresa de cibersegurança, o QLNX foi concebido para operar de forma furtiva e persistente, comprometendo ambientes de desenvolvimento e infraestruturas associadas a AWS, Docker e Kubernetes.

A Trend Micro explica que o malware compila dinamicamente componentes maliciosos diretamente no sistema comprometido através do GCC (GNU Compiler Collection), incluindo rootkits e módulos PAM utilizados para criar backdoors de autenticação.

Esta ameaça foi desenhada para permanecer invisível durante longos períodos, funcionando maioritariamente em memória, apagando o binário original do disco, eliminando registos de atividade, mascarando processos e removendo variáveis forenses do ambiente.

O QLNX inclui vários módulos especializados que lhe permitem atuar como uma plataforma de ataque completa.

O núcleo principal funciona como um RAT (Remote Access Trojan) com suporte para 58 comandos, permitindo acesso remoto interativo, gestão de ficheiros e processos, controlo do sistema e operações de rede através de canais TCP/TLS ou HTTP/S.

O malware integra ainda um mecanismo de ocultação em duas camadas: um rootkit em userland baseado em LD_PRELOAD e um componente eBPF ao nível do kernel Linux. Estes módulos permitem esconder processos, ficheiros, portas de rede e outros artefactos maliciosos.

Na componente de roubo de credenciais, o QLNX recolhe chaves SSH, dados de navegadores, configurações cloud e de ferramentas de desenvolvimento, conteúdos da área de transferência, além de informação sensível.

O malware inclui igualmente funcionalidades de keylogging, captura de ecrã e monitorização da área de transferência.

Ao nível de movimentação lateral, suporta túneis TCP, proxies SOCKS, scanning de portas, propagação via SSH e até redes peer-to-peer entre sistemas comprometidos.