Un nuevo backdoor para Linux, bautizado como PamDOORa, ha sido detectado y supone una amenaza real para sistemas con SSH expuestos. Este malware opera mediante módulos PAM, el sistema de autenticación del núcleo, interceptando contraseñas cuando los usuarios inician sesión. Las credenciales capturadas se envían a un servidor C&C controlado por atacantes.
Cómo PamDOORa se integra en el proceso de autenticación 🛡️
PamDOORa se inyecta en la cadena de módulos PAM, específicamente en la pila de autenticación de SSH. Al cargarse como un módulo legítimo, captura el nombre de usuario y la contraseña en texto plano durante la verificación de entrada. Los datos se almacenan en un archivo temporal y se exfiltran mediante solicitudes HTTP a un dominio remoto. Su persistencia se logra modificando archivos de configuración de PAM, como common-auth, sin levantar sospechas inmediatas en auditorías rutinarias.
El backdoor que se coló en la fiesta de las contraseñas 🎭
PamDOORa demuestra que incluso Linux, el sistema operativo de los que presumen de seguridad, puede tener su propio invitado no deseado en la cena de autenticación. Mientras los usuarios creen que su SSH es una fortaleza, este backdoor actúa como un camarero que anota las contraseñas en una servilleta y se las pasa al dueño del bar. Eso sí, al menos los atacantes han tenido la cortesía de usar PAM, la puerta trasera oficial del sistema, sin ensuciar el código fuente del kernel.