Nueva backdoor PamDOORa que ataca sistemas Linux para robar credenciales SSH
Resumen Informativo
De acuerdo a la publicación titulada Nueva backdoor PamDOORa que ataca sistemas Linux para robar credenciales SSH, difundida en fecha 08/05/2026 19:20, por el medio Cybersecuritynews (Autor: Tushar Subhra Dutta):
Una nueva backdoor llamada PamDOORa ha surgido como una amenaza grave y creciente para los sistemas Linux, apuntando a uno de los componentes más confiables del sistema operativo para robar silenciosamente credenciales SSH. PamDOORa funciona secuestrando el marco del Módulo de autenticación conectable, o PAM, que los sistemas Linux utilizan para manejar los inicios de sesión de los usuarios y la verificación de identidad.
A diferencia del malware tradicional que se presenta como un proceso en ejecución visible, esta backdoor inyecta un módulo malicioso directamente en la capa de autenticación, donde espera silenciosamente los intentos de inicio de sesión y recopila las credenciales antes de que puedan registrarse. Los investigadores de Group-IB identificaron la técnica que se utiliza en esta backdoor y observaron que explota pam_exec, un módulo PAM estándar diseñado para ejecutar comandos externos durante eventos de autenticación. Cómo opera PamDOORa en sistemas Linux El actor de amenazas detrás de PamDOORa opera bajo el alias "darkworm" en el foro Rehub y demuestra un notable conocimiento técnico de los aspectos internos de Linux. Una vez instalada, la backdoor inyecta un módulo PAM malicioso que produce un archivo llamado pam_linux.so, cargado en la pila de autenticación junto con los módulos legítimos del sistema.
Indicadores de compromiso (IoC) (IoC) (IoC): – Según la información revelada en el material fuente, se identificaron los siguientes indicadores a partir del script malicioso ejecutado durante la autenticación SSH: – TipoIndicadorDescripciónNombre del archivopam_linux.soObjeto compartido PAM malicioso inyectado en la pila de autenticaciónNombre del archivotn.shScript ejecutado a través de pam_exec durante los intentos de autenticación SSHDirectorio/tmp/Ubicación donde los archivos de credenciales capturados se escriben con nombres dinámicosPuerto de red1234Puerto remoto utilizado por netcat (nc) para extraer datos de credenciales robadas Ruta de configuración PAM/etc/pam.d/sshdSSH Archivo de configuración PAM modificado para cargar el módulo malicioso Módulo PAM pam_exec.so Se abusa del módulo PAM legítimo para ejecutar el script malicioso de forma silenciosa Nota: Las direcciones IP y los dominios se desactivan intencionalmente (p. La publicación Nueva backdoor PamDOORa que ataca sistemas Linux para robar credenciales SSH apareció por primera vez en Cyber Security News.
| Fuente: | Cybersecuritynews |
| Título original: | Nueva backdoor PamDOORa que ataca sistemas Linux para robar credenciales SSH |
| Publicado: | 08/05/2026 19:20 |
| Enlace: | https://cybersecuritynews.com/new-pamdoora-backdoor-attacking-linux-systems |
| Consultado: | 09/05/2026 |
