Um novo backdoor para Linux, batizado de PamDOORa, foi detectado e representa uma ameaça real para sistemas com SSH expostos. Este malware opera por meio de módulos PAM, o sistema de autenticação do núcleo, interceptando senhas quando os usuários fazem login. As credenciais capturadas são enviadas para um servidor C&C controlado por atacantes.
Como o PamDOORa se integra no processo de autenticação 🛡️
O PamDOORa se injeta na cadeia de módulos PAM, especificamente na pilha de autenticação do SSH. Ao ser carregado como um módulo legítimo, captura o nome de usuário e a senha em texto plano durante a verificação de entrada. Os dados são armazenados em um arquivo temporário e exfiltrados por meio de solicitações HTTP para um domínio remoto. Sua persistência é alcançada modificando arquivos de configuração do PAM, como common-auth, sem levantar suspeitas imediatas em auditorias rotineiras.
O backdoor que se infiltrou na festa das senhas 🎭
O PamDOORa demonstra que até o Linux, o sistema operacional daqueles que se gabam de segurança, pode ter seu próprio convidado indesejado no jantar de autenticação. Enquanto os usuários acreditam que seu SSH é uma fortaleza, este backdoor age como um garçom que anota as senhas em um guardanapo e as entrega ao dono do bar. É verdade que, pelo menos, os atacantes tiveram a cortesia de usar o PAM, a porta dos fundos oficial do sistema, sem sujar o código-fonte do kernel.