ACBackdoor, nuevo malware que afecta a Linux y Windows

ACBackdoor

Hace escasos minutos hemos publicado un artículo en el que decíamos que no existe el software perfecto. Y es que navegadores como Chrome, Edge o Safari son «fáciles» de hackear. En el artículo, decíamos que el software es imperfecto, y lo es tanto en programas/apps como en sistemas operativos, pero se hablaba de vulnerabilidades encontradas en programas. Ahora nos toca hacer lo mismo, pero sobre sistemas operativos: se ha descubierto un nuevo malware que afecta a Linux y Windows y su nombre es ACBackdoor.

Tal y como ha informado Bleeping Computer, investigadores de seguridad han descubierto un nuevo backdoor multiplataforma que afecta sistemas operativos Windows y Linux. Este malware podría ser usado para ejecutar código malicioso y binarios en los equipos comprometidos. Por lo que parece, está desarrollado por un grupo con experiencia en desarrollar herramientas maliciosas para Linux, todo según palabras de Ignacio Sanmillan de Intenzer.

ACBackdoor es más peligroso en Linux que en Windows

Hay dos variantes y las dos comparten el mismo servidor de órdenes y control (C2). Las vías de infección que usan son diferentes: la versión de Windows se está promoviendo mediante publicidad maliciosa con la ayuda del Fallout Exploit Kit, mientras que la carga útil de Linux se deja caer a través de un sistema de entrega aún desconocido.

La última versión del malware tiene como objetivo las vulnerabilidades CVE-2018-15982, relacionada con Flash Player, y la CVE-2018-8174, relacionada con el motor VBScript de Internet explorer. En ambos casos, la intención es infectar a los visitantes de páginas web controladas por el atacante. Podríamos decir que, aunque insistimos en que no existe el software perfecto, en el caso de Flash Player llueve sobre mojado.

Lo más extraño, o digamos menos habitual, es que la versión de Windows no representa una amenaza compleja. La versión de ACBackdoor de Windows es un «port» de la de Linux:

El implante de Linux se ha escrito notablemente mejor que el implante de Windows, destacando la implementación del mecanismo de persistencia junto con los diferentes comandos de puerta trasera y características adicionales que no se ven en la versión de Windows, como la creación de procesos independientes y el cambio de nombre de procesos.

Cómo funciona este backdoor

Después de infectar un ordenador, el malware empezará a recoger información del sistema, lo que incluye su arquitectura y dirección MAC. Para conseguirlo, usa herramientas específicas de la plataforma, con funciones Windows API en Windows y el programa uname UNIX usado comúnmente para imprimir información del sistema en Linux. Una vez termina con las tareas de recolección de información, ACBackdoor añadirá una entrada en el registro de Windows y creará varios enlaces simbólicos, mientras que en Linux creará un script initrd para conseguir persistencia y lanzarse automáticamente en cada reinicio.

En Windows, el backdoor también intentará camuflarse como un proceso MsMpEng.exe, la utilidad antimalware y spyware Windows Defender de Microsoft. En Linux se camuflará emulando la utilidad de notificaciones de nuevas actualizaciones (UpdateNotifier) de Ubuntu y renombrará su proceso como [kworker/u8:7-ev], lo que está relacionado con el kernel de Linux.

ACBackdoor envía información vía HTTPS

Para comunicarse con el servidor C2, ambas variantes del malware usan HTTPS como canal de comunicación, enviando toda la información recogida como una carga codificada BASE64. Por otra parte, ACBackdoor puede recibir información, ejecutar y actualizar comandos desde dicho servidor C2, lo que permite a sus dueños ejecutar comandos de Shell, binarios y actualizar el malware ya presente en un sistema infectado.

La mejor manera de evitar este y otros problemas con software malicioso es el sentido común. Lo primero es no visitar páginas webs de dudosa procedencia, algo a lo que ayuda un navegador moderno que nos avisa si una web es/puede ser peligrosa. Por otra parte, y esto vale para cualquier sistema operativo, merece la pena tener siempre bien actualizado el software que estamos usando. No existe el software perfecto, lo que incluye los sistemas operativos, y ACBackdoor es la última prueba de ello.


5 comentarios, deja el tuyo

  1.   anonimo dijo

    Basado en flashplayer….hagan el favor de hacerse ver con un psiquiatra.
    Quien es el opa el cubo que aún sigue usando flashplayer, hace años que eso no existe mas.
    Siceramente creo que esta prensa es paga para disfamar a gnu/linux, no me quedan muchas mas opciones que pensar, mal, mal, MUY MAL.

    1.    HACKERCRAC3850K dijo

      Si tienes un portátil o PC y usas su navegador, el que sea, estoy seguro de que utilizarás adobe Flash player, porque sin eso no te salen la mitad de anuncios y tampoco funcionan bien las páginas bien. Si no sabes del tema, no digas nada

  2.   Daniel dijo

    Ufffff, a cuidarse entonces de los sitios dudosos, en nuestros días prácticamente nadie está totalmente a salvo. Muy buen artículo compadre, saludos.

  3.   Leo dijo

    Se han creado herramientas de limpieza para Linux contra estas infecciones?

    1.    Pepe dijo

      Herramientas de limpieza?
      Será instalar un antimalware, ni mas ni menos. Por eso no uso linux, cualquier cosa que se cuele ahí se queda, solo ver algunos servidores con troyanos dentro por años.

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.