… pior maneira possível: através dos rootkits! Esta classe de malwares se destaca pela sua alta sofisticação sob vários aspectos: persistência (são capazes de subverter a segurança do sistema), periculosidade (atacam o sistema no mais alto nível de privilégios), ocultação (difíceis de serem detectados pelos scanners tradicionais) e estragos (os quais sequer dariam para resumir aqui). E por incrível que pareça, os sistemas GNU/Linux sofrem bastante com eles, devido ao surgimento de “novas” pragas, como é o caso do OrBit…
“Hackers are continuing to abuse a stealthy Linux rootkit known as OrBit to harvest SSH and sudo credentials, with new research showing the threat has quietly evolved over four years while remaining active in the wild. First analyzed in 2022, OrBit was initially believed to be a custom-built Linux userland rootkit. It operates by hijacking the system’s dynamic linker (ld.so), ensuring a malicious shared library is loaded into every running process.”
— by gbhackers.
O OrBit é um rootkit furtivo para Linux utilizado por hackers para capturar credenciais SSH e sudo, com pesquisas recentes mostrando que a ameaça evoluiu silenciosamente ao longo de quatro anos. Ele opera sequestrando o vinculador dinâmico do sistema (ld.so), fazendo com que uma biblioteca maliciosa seja carregada em todos os processos em execução, permitindo interceptar fluxos de autenticação, capturar credenciais e ocultar sua presença dos administradores.
O OrBit não é uma criação única original: trata-se de uma versão reempacotada do Medusa, um rootkit LD_PRELOAD de código aberto publicado no GitHub no final de 2022. Em vez de desenvolver um malware próprio, os agentes de ameaças têm modificado e reimplantado o código que se encontra publicamente disponível, atribuindo diferentes implementações, credenciais e técnicas de furtividade. Afinal de contas, é um software de código aberto e “todos” podem contribuir!
Ao interceptar mais de 40 funções da libc, o OrBit consegue ocultar arquivos, processos e conexões de rede, fazendo com que sistemas infectados pareçam limpos mesmo sob inspeção. Pesquisadores identificaram duas variantes principais: a “Linhagem A”, com recursos completos (coleta de credenciais, ocultação de rede, captura de pacotes e acesso por backdoor), e a “Linhagem B”, mais leve, que remove diversas capacidades para reduzir sua presença e evitar detecção.
Em 2025, os atacantes introduziram uma cadeia de infecção em múltiplos estágios, incluindo um dropper e um infector capaz de propagar o malware entre sistemas e estabelecer a sua persistência via cron jobs (tarefas automaticamente agendadas em sistemas Unix). Esta variante também introduziu comunicação externa limitada, ao baixar payloads de um domínio remoto. Esta foi a primeira vez que o OrBit demonstrou comportamento semelhante a comando e controle (C2).
Múltiplos grupos de ameaças foram observados utilizando o OrBit, incluindo o BLOCKADE SPIDER (ligado a ransomware) e o UNC3886 (grupo de espionagem apoiado por Estado). Especialistas em segurança alertam que os defensores devem focar menos na atribuição dos ataques a um grupo específico e mais na detecção dos comportamentos subjacentes do rootkit baseado em Medusa. Seus padrões de compilação consistentes, artefatos ocultos no sistema de arquivos e técnicas de coleta de credenciais continuam sendo indicadores confiáveis de comprometimento.
Linuxers, fiquem ligados! Pois outros (além do OrBit) poderão surgir… &;-D