Un nuevo rootkit se ha encontrado en servidores Linux, cuya capacidad de actuar ha sorprendido debido a que no infecta sistemas PC sino sistemas servidor que alojan sitios web.
El rootkit ha sido nombrado como Rootkit.Linux.Snakso y de forma oculta compromete sitios web para dirigir a sus visitantes hacia sitios infectados de malware. Ya los expertos de Kaspersky Lab y CrowdStrike lo han analizado y coinciden en que el rootkit ha sido diseñado para inyectar iFrames en sitios web y empujar el tráfico a sitios maliciosos.
El malware ha sido diseñado para sistemas Linux de 64-bit, específicamente el kernel 2.6.32-5-amd64 que es el más reciente utilizado en sistemas Debian Squeezy de 64-bit.
Al parecer el malware descubierto sigue en desarrollo ya que contiene información de depuración y algunas de las funciones no han sido implementadas todavía. Es posible que el rootkit haya sido instalado usando código de explotación para escalar privilegios en el servidor infectado. Más detalles del rootkit.
El rootkit descubierto en Linux podría ser utilizado en un ataque Waterhole, un método para infectar equipos a través de sitios web específicos comprometidos que pueden ser visitados por los miembros de la organización objeto de ataque.