Rootkit inspirado em Pokémon Go tem como alvo sistemas Linux

Um novo rootkit inspirado em Pokémon Go foi identificado pela empresa de segurança Trend Micro e tem como alvo sistemas Linux. Chamada de Umbreon, o malware possibilita que atacante tenha total controle do dispositivo infectado equipado com sistemas Linux x86, x86-64 e ARM.

Os rootkits são ameaças persistentes com a proposta de serem difíceis de detectar/encontrar. O seu principal objetivo é se manter (e manter outras ameaças) desapercebidas e totalmente escondidas dos administradores, analistas, usuários e também de ferramentas de escaneamento, de investigação e do sistema. O rootkit pode também abrir uma backdoor para usar um servidor C&C e fornecer ao atacante formas de controlar e espionar a máquina afetada.

Segundo a Trend Micro, a alusão ao Pokémon se deve a uma característica do Umbreon de se esconder na escuridão da noite, o que também lembra característica apropriada para um rootkit, no contexto de sua estratégia para não ser detectado. A Trend Micro detectou o Umbreon como parte da família ELF_UMBREON.

Os comentários em fóruns e canais de IRC por diversos usuários envolvidos afirmam que o rootkit é muito difícil de detectar e a pesquisa detalhada feita pela Trend Micro demonstra como ele tenta passar desapercebido dentro de um ambiente Linux.

O Umbreon é instalado manualmente por um atacante ao comprometer remotamente um servidor Linux, por exemplo.

De acordo com a Trend Micro, o Umbreon é um rootkit ring 3 (ou rootkit de modo usuário), o que permite que ele possa “falsificar” funções de bibliotecas centrais que executam operações importantes em um sistema, tais como salvar/ler arquivos, criação de processos ou o envio de pacotes através da rede.

Durante a instalação, o Umbreon cria um usuário Linux válido que o atacante pode usar com backdoor no sistema afetado. Essa conta pode ser acessada por meio de qualquer método de autenticação suportado pelo PAM do Linux, incluindo o SSH.

Esse usuário tem um GID (Group ID) especial que o rootkit confere para ver se o atacante está tentando acessar o sistema e assim liberar o acesso. Não é possível ver esse usuário listado em arquivos como /etc/passwd por que as funções da libc são “hookadas” (falsificadas) pelo Umbreon.

Instruções para remoção

Apesar do Umbreon ser um rootkit ring 3 (nível de usuário), a Trend Micro não aconselha que a remoção do malware seja feita pelo usuário: isso pode trazer dano irreparável ao sistema e colocá-lo em estado irrecuperável.

Nesse caso, o aconselhável é contar com soluções específicas que colaborem especificamente para a remoção de rootkits em Linux.