BackDoor Xunpes: así es el troyano que amenaza con tomar el control de tu ordenador Linux (y mucho más)

A principios de diciembre te hablamos de Rekoobe, un troyano que afectaba a los sistemas operativos basados en Linux y que, a pesar de su sencilla apariencia –gracias a la que podía evitar ser detectado por el sistema de seguridad-, resultaba tremendamente molesto y permitía a los atacantes colarse en el equipo para subir archivos locales al servidor y un largo etcétera de incomodidades a las que ya nos referimos en su día.

Menos de dos meses después y por desgracia, tenemos que informaros de la aparición de uno nuevo: Linux.BackDoor.Xunpes En esta ocasión –y como su propio nombre indica- se trata de un troyano de puerta trasera cuyo proceso de infección se divide en dos partes. La primera de ellas tiene que ver con un dropper escrito en Free Pascal, el encargado de descargar el segundo componente, el troyano propiamente dicho. Pero ¿qué puede hacer exactamente?

Linux.BackDoor.Xunpes, así es

Descubierto por los investigadores de Dr Web durante este fin de semana, parece que este malware ha sido diseñado para atacar a los cajeros automáticos Bitcoin de una startup con sede en España llamada Pay Maq. Sin embargo, ahora ha saltado a Linux, con un “éxito” tan rotundo que, una vez que el equipo está infectado, el autor del malware puede enviar más de 40 tipos de comandos a través de un servidor C&C (comand and control), que le permite permanecer en el semi-anonimato. Las acciones más significativas son:

• Descargar archivos
• Ejecutar archivos en el ordenador remoto
• Copiar archivos y eliminarlos
• Crear y eliminar carpetas
• Ejecutar comandos en la terminal
• Simular pulsaciones de teclado
• Registrar estas pulsaciones y subirlas a un servidor
• Llevar a cabo capturas de pantallas
• Echar un vistazo a los sockets abiertos
• Apagar el ordenador
• Dificultar las comunicaciones

Más malware en Linux

Al margen de lo dicho, no se trata de los únicos problemas de este tipo que ha experimentado Linux, sino que, por desgracia, la aparición de malware que afecta a sus equipos es cada vez más frecuente. Así, en noviembre del año pasado dimos a conocer la aparición de un ransomware para este sistema operativo -Linux.Encoder.1-; un malware que se infiltraba a través de las vulnerabilidades en los plugins y encriptaba los archivos pertenecientes a las carpetas home, root, Apache, git, svn, etcétera; entre otros.

Durante el verano de 2014, además, los investigadores de Kaspersky Lab descubrieron otro troyano, tan silencioso y potente que podía permanecer oculto durante meses en cualquier equipo. Destinado al espionaje gubernamental, podía de interceptar el tráfico de datos y ejecutar comandos y acciones remotamente sin necesidad de disponer de “privilegios” de administrador del sistema.

La semana pasada Dr Web reveló también la existencia de Linux.Ekoms.1, un troyano similar con capacidad de realizar capturas de pantalla. No podemos olvidarnos tampoco del malware DDos XOR, aunque su ámbito de actuación se ha centrado en Asia. Unos casos que, en definitiva, llevan a cuestionarse la seguridad en Linux pero que, por desgracia, resultan inevitables cuando un sistema operativo se vuelve más popular.

En Genbeta | ¿Qué es un troyano, cómo funciona y cómo podemos protegernos?

En Xataka Android | ¿Troyanos en tu Android? No descuides la seguridad