Un nuovo backdoor per Linux, chiamato PamDOORa, è stato rilevato e rappresenta una minaccia reale per i sistemi con SSH esposto. Questo malware opera tramite moduli PAM, il sistema di autenticazione del kernel, intercettando le password quando gli utenti effettuano l'accesso. Le credenziali catturate vengono inviate a un server C&C controllato dagli aggressori.
Come PamDOORa si integra nel processo di autenticazione 🛡️
PamDOORa si inietta nella catena dei moduli PAM, specificamente nello stack di autenticazione di SSH. Caricandosi come un modulo legittimo, cattura il nome utente e la password in testo semplice durante la verifica di accesso. I dati vengono memorizzati in un file temporaneo ed esfiltrati tramite richieste HTTP verso un dominio remoto. La sua persistenza è ottenuta modificando i file di configurazione di PAM, come common-auth, senza destare sospetti immediati in audit di routine.
Il backdoor che si è intrufolato alla festa delle password 🎭
PamDOORa dimostra che anche Linux, il sistema operativo di chi si vanta della sicurezza, può avere il suo ospite indesiderato alla cena dell'autenticazione. Mentre gli utenti credono che il loro SSH sia una fortezza, questo backdoor agisce come un cameriere che annota le password su un tovagliolo e le passa al proprietario del bar. Certo, almeno gli aggressori hanno avuto la cortesia di usare PAM, la porta sul retro ufficiale del sistema, senza sporcare il codice sorgente del kernel.