Hand of Thief: el troyano para Linux que no sabía robar

por | 5 septiembre, 2013
hand-of-thief_trojan

Image credits: RSA

A pesar del impacto mediático en su momento, parece que acerté no dedicándole ni dos lineas al tema… y es que amigos, sonaba demasiado a la típica serpiente de verano: un «nuevo» troyano para linux (no se porqué pero…casi siempre es de origen ruso…HOYGAN) que echaría por tierra la supuesta invulnerabilidad de este sistema, robando datos bancarios y personales…

Años llevamos con estas historias…y uno empieza a ser viejo para creérselas…

Una amenaza que afectaría nada menos que a 15 distribuciones GNU/Linux y a navegadores como Firefox o Chrome, capturando sesiones HTTP y HTTPS, mediante backdoors, con capacidades como la detección de maquinas virtuales para evitar ser investigado, y en el que metodo de infección se realizaría mediante ingeniería social (te haces el harakiri y te lo instalas…)

La existencia de este troyano fue desvelada a principios de agosto por RSA, una empresa dedicada a la criptografía y al software de seguridad, que detectó que estaba siendo ofrecido en el mercado underground por $2,000 USD (eso es crowfunding y no el de Canonical… 😉 ).

Casi un mes después, Yotam Gottesman un experto en seguridad de RSA ha analizado en profundidad Hand of Thief, creando binarios y ha llegado a la conclusión de que no es una amenaza real para los usuarios de GNU/Linux, considerándolo:

 muy limitado o incluso inexistente, lo que convertiría al malware en un prototipo que necesita mucho más trabajo antes de que pueda ser considerado como un troyano bancario comercialmente viable.

6281188180_bcd6d54c3f_o

image credits: Terra Incognita!

El troyano fue probado en dos equipos uno con Fedora 19 y otro con Ubuntu 12.04.

En la máquina con Fedora, una vez «infectada»,  todo lo que que conseguía era provocar el congelamiento/crash de Firefox (lo de pasar desapercibido no es lo suyo, vaya!) y capturar solicitudes pero sin retrasmitir información a su servidor. Al utilizarse Google Chrome logro capturar alguna información y enviarla a su servidor, pero mostraba una incapacidad general para filtrar correctamente los datos.

Cuando se probó en el equipo con Ubuntu y navegador Firefox,  el troyano corrió con normalidad, pero parecía no hacer nada. La investigación reveló además que en esta distribución de GNU/Linux, un mecanismo de protección llamado ámbito ptrace se habilita de forma predeterminada

Esta protección impide que un proceso se una a otro proceso diferente, cuando la ID de los procesos coincida. La protección bloqueaba efectivamente al troyano de interferir con otros procesos que hacían Hand of Thief….inutil.

Incluso desactivado este sistema de protección (lo cual requiere privilegios de root), en la mayoría de ocasiones el troyano provocaba que Firefox se bloqueara y cerrara. En algun caso esporádico, el troyano realizó peticiones de capturas, pero los datos llegaban vacíos a su servidor.

Algunas características del troyano no relacionadas con el navegador que si funcionaban según el investigador Yotam Gottesman: 

  • Bind shell
  • Shell inversa
  • Descargar y ejecutar
  • Socks server
  • Auto-eliminar

En todo caso insuficiente para constituir una amenaza real para los usuarios de GNU/Linux… funcionamiento defectuoso, capacidad de infección limitada, fácil de erradicar ya que solo hay eliminar los archivos usados en la instalación…En todo caso si os interesa el tema os recomiendo echar una ojeada al informe de RSA, mucho más completo que este post

Así que por ahora amigos…vamos poder seguir diciendo aquello de:

Nunca he visto un virus en Linux y …tampoco nunca me he encontrado un Windows sin virus

Fuente | RSA

11 pensamientos en “Hand of Thief: el troyano para Linux que no sabía robar

  1. ecoslacker

    «Nunca he visto un virus en Linux y …tampoco nunca me he encontrado un Windows sin virus» … de hecho el mismo Windows es un virus.

    Aunque no soy experto y la opinión de investigadores dedicados está dada, desde mi punto de vista como usuario promedio de Linux y antiguo usuario de Windows, las características de bind shell, shell inversa y descargar y ejecutar aunque son «inofensivas» cabe la posibilidad de que la persona correcta pueda aprovecharlas de formas no muy bien intencionadas ¿o no?

    Saludos.

    Responder
    1. tannhausser

      Hola ecoslacker!

      Lo cierto es que como troyano no funciona… es posible que se le puedan sacar partido a esas características como malware, pero es lo habitual cuando se habla de virus para linux, necesita nuestra participación para descargarlo, darle permisos, etc…

      Saludos!

      Responder
      1. erdosain

        Igual, en windows también necesitas ese tipo de participación, «descargarlo,darle permisos»… el tema es que viene bindeado con algo y entonces para instalar aquello que querías le das permisos… y ahí te garca.
        Por otro lado, claro que Linux es incomparable a windows en cuanto a seguridad, pero ojo con los programas que se usan… por ejemplo hace poco se realizó un keylogger que funcionaría como un add-on en firefox y chrome… y en ese caso es multiplataforma.
        Así que ojo con pasar por tonto por sentirse muy seguro en linux.
        Saludos!

        Responder
  2. x11tete11x (@x11tete11x)

    @erdosain, esta claro que hay que protegerse pero me gustaria señalar algo, en windows hay virus que ni siquiera han de ser descargados y tener que darles permisos para destruir la maquina, en particular windows xp tiene unos agujeros de seguridad grandisimos, esta claro que yo genere el ambiente, pero sin que la otra computadora se entere y ni siquiera tenga que interactuar, mediante la red obtuve permisos de system https://plus.google.com/u/0/108727918131989030219/posts

    Responder
  3. Pingback: Viviendo entre Pingüinos | Hand of Thief: El troyano que no sabia robar

  4. dextre

    yo nunca me encontre con un tryan o virus, escuche a un representante de TI de venezuela que el troyano infecto a los usuarios finales de linux y que se dejen de decir que a linux no le pasa nada. a la primera asusta pero despues te echas a penzar y analizar, y como me puede infectar eso, bien raro otra joda mas para los linuxeros

    Responder

Responder a villanovanoCancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.