PamDOORa, il nuovo malware Linux che apre porte segrete ai criminali informatici

PamDOORa è un nuovo malware Linux venduto nei forum cybercriminali, il quale sfrutta il sistema PAM per ottenere accessi SSH nascosti e rubare credenziali. Il malware, intercetta password in chiaro, modifica i log e garantisce la persistenza agli attaccanti anche dopo il cambio delle credenziali.

Un nuovo strumento malware per Linux chiamato PamDOORa è stato messo in vendita sul forum di hacker Rehub. Lo sviluppatore, che si fa chiamare darkworm, inizialmente chiedeva 1.600 dollari, ma dopo alcune settimane ha quasi dimezzato il prezzo, portandolo a 900 dollari. A giudicare dal calo di prezzo, gli acquirenti sono stati meno numerosi del previsto.

Gli specialisti di Flare.io definiscono PamDOORa uno strumento completo per infiltrarsi in un’infrastruttura già compromessa. Il malware utilizza il meccanismo PAM , un sistema di autenticazione modulare per Unix e Linux.

PAM consente agli amministratori di modificare i metodi di accesso senza riscrivere i programmi, ad esempio passando dalle password all’autenticazione biometrica. Grazie alla sua profonda integrazione, i moduli PAM vengono eseguiti con privilegi di root, conferendo al componente dannoso un controllo pressoché totale sul sistema.

PamDOORa è un modulo nascosto per il sistema di autenticazione Linux. Una volta infettato, il server accetta una speciale password “magica” e una specifica combinazione di porte di rete, consentendo all’attaccante di connettersi inosservato tramite SSH anche dopo aver modificato le normali credenziali. Allo stesso tempo, il malware raccoglie i nomi utente e le password di tutti gli utenti che accedono al sistema.

Oltre a rubare le password, PamDOORa è in grado di nascondere la propria presenza. Il malware modifica i log di autenticazione ed elimina le registrazioni degli accessi sospetti. Questo approccio complica notevolmente le indagini sugli incidenti e l’identificazione della fonte della violazione.

PamDOORa è diventato il secondo malware PAM conosciuto dopo Plague. Questi strumenti sono particolarmente pericolosi perché il PAM trasmette le password in chiaro tra i moduli di autenticazione. Gli aggressori possono intercettare le credenziali, iniettare i propri script e mantenere l’accesso al server per mesi.

Sebbene gli esperti non abbiano ancora rilevato alcun attacco tramite PamDOOR, lo schema di infezione sembra essere piuttosto semplice. Innanzitutto, l’attaccante ottiene l’accesso root al server utilizzando qualsiasi mezzo disponibile, quindi installa un modulo PAM dannoso per ottenere un accesso persistente e rubare le credenziali.

Flare.io ritiene che PamDOORa superi di gran lunga la maggior parte dei moduli malware open source per la protezione da accessi non autorizzati (PAM). Combina l’intercettazione delle credenziali, la connessione furtiva, la protezione dall’analisi e un sistema di compilazione dei moduli per diverse configurazioni Linux. Questo insieme di funzionalità avvicina lo strumento al livello delle piattaforme professionali utilizzate da criminali informatici esperti .

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research