Pesquisadores de cibersegurança divulgaram detalhes de uma nova backdoor para Linux chamada **PamDOORa**, que está sendo anunciada no fórum de cybercrime russo Rehub por US$ 1.600 por um ator de ameaça conhecido como "darkworm".  A backdoor foi projetada como um toolkit de pós-exploração baseado em Pluggable Authentication Module (PAM), que permite acesso persistente ao SSH por meio de uma senha mágica e uma combinação específica de porta TCP. Ela também é capaz de coletar credenciais de todos os usuários legítimos que se autenticam através do sistema comprometido. "A ferramenta, chamada PamDOORa, é uma nova backdoor baseada em PAM, projetada para servir como uma backdoor de pós-exploração, permitindo a autenticação em servidores via OpenSSH", disse Assaf Morag, pesquisador da **Flare.io** [nesta fonte](https://flare.io/learn/resources/blog/pamdoora-new-linux-pam-based-backdoor-sale-dark-web) em um relatório técnico. "Supostamente, isso permaneceria persistente em sistemas Linux (x86_64)." ### PAM: Um Alvo Principal para Backdoors PamDOORa é a segunda backdoor Linux que visa a pilha PAM, após **Plague**. PAM é um framework de segurança em sistemas operacionais Unix/Linux que concede aos administradores de sistema a capacidade de incorporar múltiplos mecanismos de autenticação ou atualizá-los (por exemplo, mudar de senhas para biometria) em um sistema existente por meio do uso de módulos plugáveis, sem a necessidade de reescrever aplicações existentes. Como os módulos PAM geralmente são executados com privilégios de root, um módulo comprometido, mal configurado ou malicioso pode introduzir riscos significativos de segurança e abrir a porta para coleta de credenciais e acesso não autorizado. "Apesar de seus pontos fortes, a modularidade do Pluggable Authentication Module (PAM) introduz riscos, pois modificações maliciosas nos módulos PAM podem criar backdoors ou roubar credenciais de usuários, especialmente porque o PAM não armazena senhas, mas transmite valores em texto plano", observou a **Group-IB** [nesta fonte](https://www.group-ib.com/blog/pluggable-authentication-module/) em setembro de 2024. "O módulo pam_exec, que permite a execução de comandos externos, pode ser explorado por atacantes para obter acesso não autorizado ou estabelecer controle persistente, injetando scripts maliciosos em arquivos de configuração do PAM."  A fornecedora de segurança de Singapura também detalhou como é possível manipular a configuração do PAM para autenticação SSH para executar um script via pam_exec, permitindo efetivamente que um ator malicioso obtenha um shell privilegiado em um host e facilite a persistência furtiva. ### Capacidades Anti-Forenses da PamDOORa As descobertas mais recentes da Flare.io mostram que a PamDOORa, além de permitir o roubo de credenciais, incorpora capacidades anti-forenses para adulterar metodicamente os logs de autenticação e apagar rastros de atividade maliciosa. Embora não haja evidências de que o malware tenha sido utilizado em ataques do mundo real, as cadeias de infecção que distribuem o malware provavelmente envolvem o adversário obtendo primeiro acesso root ao host por algum outro meio e implantando o módulo PAM PamDOORa para capturar credenciais e estabelecer acesso persistente via SSH. Após um preço inicial de US$ 1.600 em 17 de março de 2026, a persona "darkworm" reduziu o preço em quase 50%, para US$ 900 em 9 de abril, indicando falta de interesse dos compradores ou a intenção de acelerar uma venda.  "PamDOORa representa uma evolução sobre as backdoors PAM open-source existentes", explicou Morag. "Embora as técnicas individuais (hooks de PAM, captura de credenciais, adulteração de logs) sejam bem documentadas, a integração em um implante coeso e modular com anti-debugging, gatilhos cientes de rede e um pipeline de construção o coloca mais perto de ferramentas de nível operacional do que dos scripts rudimentares de prova de conceito encontrados na maioria dos repositórios públicos."