Meta News

Descubren backdoor PamDOORa de Linux que usa módulos PAM para robar credenciales SSH

Resumen: Investigadores revelaron PamDOORa, un nuevo backdoor de Linux basado en PAM, vendido en un foro ruso, diseñado para obtener acceso persistente por SSH y robar credenciales de usuarios legítimos.

Descubren “PAMDOORA”, un nuevo backdoor para Linux que abusa del sistema PAM para ocultarse

Investigadores de ciberseguridad descubrieron un nuevo malware para Linux llamado “PAMDOORA”, una puerta trasera avanzada que utiliza el sistema PAM (Pluggable Authentication Modules) para mantener persistencia y ocultar actividad maliciosa dentro de servidores comprometidos.

El malware fue identificado recientemente durante investigaciones forenses en sistemas Linux atacados y destaca por su capacidad para integrarse directamente en el proceso de autenticación del sistema operativo.

Qué es PAM y por qué es peligroso este ataque

PAM es un componente central de Linux utilizado para gestionar autenticación de usuarios, acceso SSH, permisos y validación de credenciales.

Al comprometer módulos PAM, los atacantes pueden:

  • Robar credenciales.
  • Mantener acceso persistente.
  • Ocultar sesiones maliciosas.
  • Evadir herramientas de seguridad.
  • Crear accesos secretos al sistema.

Según los investigadores, PAMDOORA modifica componentes relacionados con autenticación para interceptar credenciales y permitir acceso remoto oculto a operadores maliciosos.

Cómo funciona PAMDOORA

El malware instala bibliotecas maliciosas dentro de rutas utilizadas por PAM y manipula el flujo normal de autenticación.

Entre las capacidades observadas se incluyen:

  • Backdoor oculto mediante contraseñas especiales.
  • Robo de credenciales SSH.
  • Persistencia tras reinicios.
  • Ocultamiento de procesos y actividad.
  • Comunicación remota con infraestructura de comando y control (C2).

Los investigadores indicaron que el malware fue diseñado específicamente para servidores Linux, especialmente aquellos expuestos a Internet.

Objetivos principales

PAMDOORA parece orientado a comprometer:

  • Servidores empresariales Linux.
  • Infraestructura cloud.
  • Servidores SSH expuestos públicamente.
  • Sistemas de hosting.
  • Equipos críticos de producción.

Los expertos advierten que entornos con configuraciones SSH débiles o credenciales reutilizadas tienen mayor riesgo de compromiso inicial.

Señales de compromiso

Los administradores deberían revisar:

  • Cambios inesperados en archivos PAM.
  • Bibliotecas sospechosas en /lib, /usr/lib o módulos PAM.
  • Accesos SSH anómalos.
  • Usuarios desconocidos.
  • Procesos ocultos o conexiones salientes extrañas.
  • Archivos modificados en /etc/pam.d/.

También recomiendan validar integridad mediante herramientas como:

  • rpm -V
  • debsums
  • AIDE
  • auditd
Recomendaciones de seguridad

Para reducir riesgos, los especialistas recomiendan:

  • Aplicar autenticación multifactor (MFA).
  • Restringir acceso SSH mediante listas permitidas.
  • Deshabilitar login root remoto.
  • Supervisar módulos PAM regularmente.
  • Utilizar herramientas EDR compatibles con Linux.
  • Mantener sistemas actualizados.

El descubrimiento de PAMDOORA demuestra cómo los atacantes continúan desarrollando malware Linux cada vez más sigiloso y orientado a persistencia avanzada en infraestructuras críticas.

Fuente original: The Hacker News.

Datos clave

  • PamDOORa es un backdoor de Linux basado en PAM.
  • El backdoor está diseñado para robar credenciales y garantizar acceso SSH persistente.
  • El exploit aprovecha los módulos PAM, que se ejecutan con privilegios de root.
  • PamDOORa es el segundo backdoor que ataca la pila PAM después de Plague.

¿Por qué importa?

Este hallazgo subraya los riesgos intrínsecos de la modularidad de los sistemas operativos. Los atacantes pueden explotar funcionalidades legítimas, como la gestión de módulos PAM, para establecer puntos de acceso persistentes. Las organizaciones deben revisar y fortalecer la seguridad de sus configuraciones de PAM para prevenir el robo de credenciales.

X profile@thehackersnewshttps://twitter.com/thehackersnews
Contenido embebido de: Descubren backdoor PamDOORa de Linux que usa módulos PAM para robar credenciales SSH
Etiquetas:
Linux backdoor PAM ciberseguridad SSH

Detalles estructurados

  • Industria: cybersecurity
  • Tipo de fuente: media
  • Estado de la afirmación: confirmed
  • Verificación: claimed_by_source
  • Entidades: PamDOORa, Rehub, darkworm

Fuente: https://thehackernews.com/2026/05/new-linux-pamdoora-backdoor-uses-pam.html

Publicado el