Era tuya — ahora es nuestra: cómo una breve línea de código convierte una estación de trabajo en un zombi obediente
Incluso los antivirus más vigilantes pasan por alto esta amenaza. ¿Por qué?
Un investigador llamado Xavier Mertens recientemente llamó la atención sobre un nuevo script malicioso en Bash que convierte silenciosamente un servidor o una estación de trabajo común en un punto de acceso remoto. A primera vista el código parece sencillo e incluso está provisto de comentarios, pero tras esa aparente transparencia se oculta un conjunto de técnicas que permiten arraigarse en el sistema y ocultar las huellas de actividad.
El script instala una puerta trasera basada en GSocket — una herramienta para la interacción de red mediante una infraestructura global de retransmisión. En lugar de las direcciones IP habituales y puertos abiertos, usa un secreto compartido, y la conexión se establece a través de conexiones salientes. Este enfoque ayuda a eludir las defensas tradicionales. Para el acceso remoto se emplea la utilidad gs-netcat, capaz de abrir una shell, transferir archivos y crear túneles.
La muestra detectada también llamó la atención de los especialistas porque los sistemas antivirus la identifican débilmente: en el momento del análisis solo unos pocos motores la detectaron. Además, el código no contiene ofuscación y parece indicar que el autor probó su funcionamiento antes de una difusión posterior.
Tras su ejecución, el script descarga el cliente de GSocket y establece una conexión con un nodo externo. A continuación el malware se arraiga en el sistema mediante varias técnicas. Se crea una tarea en cron que vuelve a iniciar el proceso oculto cada hora. Además, el mismo mecanismo se añade en .profile, lo que asegura que el proceso se vuelva a iniciar al iniciar sesión del usuario.
Los archivos se disfrazan como legítimos. El propio script se copia en el directorio .ssh con el nombre putty, y el secreto para la conexión se guarda en una clave id_rsa falsa. El binario con la carga útil se descarga directamente desde el CDN de GSocket.
Las técnicas para ocultar rastros merecen una atención particular. En lugar de los comandos estándar para manipular archivos, el script emplea funciones auxiliares que registran y luego restauran las marcas de tiempo. Tras completar las operaciones, el malware devuelve los valores originales para que los cambios en el sistema de archivos parezcan imperceptibles. Este enfoque dificulta la investigación y reduce la probabilidad de detectar la compromisión.
El código también comprueba el tipo de sistema operativo y puede funcionar no solo en Linux, sino también en otras plataformas UNIX, incluyendo macOS y varios BSD. La universalidad y la sencillez convierten la amenaza en potencialmente peligrosa para una amplia gama de sistemas.