Si aún no habías oído hablar de ella, te interesará saber que se está produciendo una campaña de hackeos conocida como ‘Operation DreamJob’ que está afectando a cientos de usuarios de Linux. Recibe este nombre porque ha sido elaborada fundamentalmente a partir de técnicas de ingeniería social que incluyen con frecuencia ofertas de trabajo que a cualquiera de nosotros nos gustaría aceptar y que, por supuesto, son fraudulentas.
El malware utilizado en esta campaña explota una vulnerabilidad de 3CX que originalmente comenzó a ser aprovechada en Windows y macOS, pero que recientemente también ha sido detectada en Linux. Además de suponer una amenaza para cualquiera que utilice nuestro sistema operativo, este malware parece tener como objetivo también las redes de servidores que aprovechan la gestión de recursos optimizada de Linux.
Nueva versión del BPFDoor
No se trata de la única forma de malware que está afectando a Linux en tiempos recientes. También se ha descubierto una nueva versión del BPFDoor (Berkley Packet Filter), una forma de malware diseñada para superar las restricciones del firewall y vulnerar así los sistemas de seguridad digital de Linux frente al tráfico malicioso. La versión anterior utilizaba una encriptación RC4, al menos hasta mediados de 2022.

La nueva versión de este malware, detectada a partir de esa fecha y analizada por Deep Instinct, cuenta con una encriptación de biblioteca estática, comunicación de shell inversa, y envía todos sus comandos a través del servidor C2. Además, no tiene comandos codificados de manera fija –a diferencia de su antecesora–, y lo mismo puede decirse de sus nombres de archivo. Se trata entonces de una variante más avanzada.
Todas las mejoras de este malware parecen estar orientadas a facilitar su operatividad sin ser detectado, y parece que está teniendo un éxito considerable en el proceso. Según Deep Instinct, esta versión más reciente de BPFDoor opera sin ser detectada por ninguno de los antivirus utilizados en las pruebas, a pesar de que fue remitida la información pertinente a todos ellos el pasado mes de febrero.
Los ataques de ransomware pasan a un primer plano
Todas estas nuevas formas de malware para Linux pueden utilizarse como sistemas de apoyo para lanzar ataques de ransomware, que están siendo la tendencia en los últimos meses. En SentinelLabs alertan del aumento de hackers que utilizan el código del malware Babuk para elaborar nuevas formas de ransomware para Linux, con frecuencia haciendo modificaciones reducidas en el código para lograr su objetivo.
El uso extendido de Babuk tiene su origen en una filtración de 2021 en la que se hizo público su código fuente. Los nuevos hackers que están lanzando ataques con este código son, en su mayoría, ciberatacantes novatos, o eso parecen indicar los análisis. Muchos de estos ataques van dirigidos contra la plataforma ESXi, y, pese a que en su mayoría presentan niveles de sofisticación bajos, otras variantes son mucho más peligrosas.
Entre ellas destaca una nueva variante del ransomware AstraLocker que ha sido elaborada a partir de Babuk y que está orientada no para su uso directo por parte de sus desarrolladores, sino para su venta a otros hackers. AstraLocker aprovecha el auge de nuevos hackers en los foros de la dark web para ofrecer su software como ‘ransomware-as-a-service’, de forma que los nuevos ciberatacantes pueden usar AstraLocker a cambio de un pago previo.

La seguridad digital en Linux cobra más importancia
Este notable aumento en las variantes de malware para Linux, incluyendo su sofisticación creciente y su mayor frecuencia de uso, deja en evidencia las vulnerabilidades del sistema y destierra todavía más el falso mito de que “Linux no tiene virus”. Adoptar las medidas de ciberseguridad necesarias para proteger nuestros sistemas es más importante que nunca, especialmente si estamos trabajando con servidores que operan con Linux.
Además de contar con herramientas para eliminar malware, nos conviene navegar siempre con una conexión cifrada y desconfiar de las descargas de software procedentes de fuentes poco confiables. La gran ventaja de Linux –su código abierto y la colaboración colectiva– también puede volverse en nuestra contra si descargamos modificaciones para el sistema de forma imprudente, con lo que va a verificar las fuentes cobra una importancia capital.
El aspecto positivo de este aumento de los hackeos en Linux –si acaso hay alguno– es que demuestra la mayor importancia que está teniendo el sistema operativo a nivel global. Frente al auge de la IA y las maniobras opacas de Microsoft o Google, la buena salud de Linux constituye un rayo de esperanza para un futuro que se antoja bastante complejo. Sea como sea, nos conviene proteger a Linux más que nunca, y eso comienza por combatir el malware.