Investigadores de ciberseguridad han revelado detalles de una nueva puerta trasera de Linux llamada PamDOORa eso está siendo anunciado en el foro ruso sobre cibercrimen Rehub por 1.600 dólares por un actor de amenazas llamado «darkworm».
La puerta trasera está diseñada como un módulo de autenticación conectable (PAM) basado en un kit de herramientas post-explotación que permite el acceso SSH persistente mediante una contraseña mágica y una combinación de puerto TCP específico. También es capaz de recopilar credenciales de todos los usuarios legítimos que se autentican a través del sistema comprometido.
«La herramienta, llamada PamDOORa, es una nueva puerta trasera basada en PAM, diseñada para servir como puerta trasera post-explotación, permitiendo la autenticación en servidores a través de OpenSSH», dijo Assaf Morag, investigador de Flare.io. dicho en un informe técnico. «Supuestamente esto permanecería persistente en los sistemas Linux (x86_64)».
PamDOORa es la segunda puerta trasera de Linux después Plaga que se descubrió apuntando a la pila PAM durante el año pasado. PAM es un marco de seguridad en los sistemas operativos Unix/Linux que otorga a los administradores de sistemas la capacidad de incorporar múltiples mecanismos de autenticación o actualizarlos (por ejemplo, cambiar de contraseñas a datos biométricos) en un sistema existente mediante el uso de módulos conectables sin la necesidad de reescribir las aplicaciones existentes.
Debido a que los módulos PAM normalmente se ejecutan con privilegios de rootun módulo comprometido, mal configurado o malicioso puede introducir importantes riesgos de seguridad y abrir la puerta a la recolección de credenciales y al acceso no autorizado.
«A pesar de sus puntos fuertes, la modularidad del módulo de autenticación conectable (PAM) introduce riesgos, ya que las modificaciones maliciosas en los módulos PAM pueden crear puertas traseras o robar credenciales de usuario, especialmente porque PAM no almacena contraseñas sino que transmite valores en texto plano», Group-IB anotado en septiembre de 2024.
«Los atacantes pueden explotar el módulo pam_exec, que permite la ejecución de comandos externos, para obtener acceso no autorizado o establecer un control persistente mediante la inyección de scripts maliciosos en los archivos de configuración de PAM».
El proveedor de seguridad de Singapur también detalló cómo es posible manipular la configuración PAM para la autenticación SSH para ejecutar un script a través de pam_exec, permitiendo efectivamente que un mal actor obtenga un shell privilegiado en un host y facilite la persistencia sigilosa.
Los últimos hallazgos de Flare.io muestran que PamDOORa, además de permitir el robo de credenciales, incorpora capacidades antiforenses para alterar metódicamente los registros de autenticación para borrar rastros de actividad maliciosa.
Aunque no hay evidencia de que el malware se haya utilizado en ataques del mundo real, es probable que las cadenas de infección que distribuyen el malware impliquen que el adversario primero obtenga acceso raíz al host a través de otros medios e implemente el módulo PamDOORa PAM para capturar credenciales y establecer acceso persistente a través de SSH.
Morag dijo a The Hacker News que PamDOORa fue comparada con varias puertas traseras similares basadas en PAM, incluida Plague. Aunque comparten un enfoque similar de alterar el comportamiento de PAM para permitir la captura de credenciales, las «pequeñas diferencias en el diseño» indican que la puerta trasera no se superpone con ninguna de ellas. «Pero sin comparar los dos binarios no podemos descartarlo por completo», añadió Morag.
Después de un precio de venta inicial de 1.600 dólares el 17 de marzo de 2026, el personaje del «gusano oscuro» lo ha reducido desde entonces en casi un 50 % a 900 dólares el 9 de abril, lo que indica una falta de interés del comprador o una intención de acelerar la venta.
«PamDOORa representa una evolución con respecto a las puertas traseras PAM de código abierto existentes», explicó Morag. «Si bien las técnicas individuales (enganches PAM, captura de credenciales, manipulación de registros) están bien documentadas, la integración en un implante modular cohesivo con antidepuración, activadores conscientes de la red y una canalización de construcción lo coloca más cerca de las herramientas de nivel de operador que los crudos scripts de prueba de concepto que se encuentran en la mayoría de los repositorios públicos».
Fuente