ACBackdoor, nou malware que afecta Linux i Windows

Pablinux

4 minuts

ACBackdoor

Fa escassos minuts hem publicat un article en el qual dèiem que no existeix el programari perfecte. I és que navegadors com Chrome, Edge o Safari són «fàcils» de hackejar. A l'article, dèiem que el programari és imperfecte, i ho és tant en programes / apps com en sistemes operatius, però es parlava de vulnerabilitats trobades en programes. Ara ens toca fer el mateix, però sobre sistemes operatius: s'ha descobert un nou malware que afecta Linux i Windows i el seu nom és ACBackdoor.

Tal com ha informat Bleeping Computer, investigadors de seguretat han descobert un nou backdoor multiplataforma que afecta sistemes operatius Windows i Linux. Aquest malware podria ser usat per a executar codi maliciós i binaris en els equips compromesos. Pel que sembla, està desenvolupat per un grup amb experiència en desenvolupar eines malicioses per a Linux, tot segons paraules d'Ignacio Sanmillán de Intenzer.

ACBackdoor és més perillós en Linux que a Windows

Hi ha dues variants i les dues comparteixen el mateix servidor d'ordres i control (C2). Les vies d'infecció que fan servir són diferents: la versió de Windows s'està promovent mitjançant publicitat maliciosa amb l'ajuda de l'Fallout Exploit Kit, mentre que la càrrega útil de Linux es deixa caure a través d'un sistema de lliurament encara desconegut.

L'última versió de l'malware té com a objectiu les vulnerabilitats CVE-2018-15982, Relacionada amb Flash Player, I la CVE-2018-8174, Relacionada amb el motor VBScript d'Internet Explorer. En tots dos casos, la intenció és infectar els visitants de pàgines web controlades per l'atacant. Podríem dir que, tot i que insistim que no existeix el programari perfecte, en el cas de Flash Player plou sobre mullat.

El més estrany, o diguem menys habitual, és que la versió de Windows no representa una amenaça complexa. La versió de ACBackdoor de Windows és un «port» de la de Linux:

L'implant de Linux s'ha escrit notablement millor que l'implant de Windows, destacant la implementació de l'mecanisme de persistència juntament amb els diferents ordres de porta del darrere i característiques addicionals que no es veuen en la versió de Windows, com la creació de processos independents i el canvi de nom de processos.

Com funciona aquest clandestí

Després d'infectar un ordinador, el malware començarà a recollir informació de sistema, El que inclou la seva arquitectura i adreça MAC. Per aconseguir-ho, fa servir eines específiques de la plataforma, amb funcions Windows API a Windows i el programa uname UNIX usat comunament per imprimir informació de sistema en Linux. Un cop acaba amb les tasques de recol·lecció d'informació, ACBackdoor afegirà una entrada al registre de Windows i crearà diversos enllaços simbòlics, mentre que a Linux crearà un script initrd per aconseguir persistència i llançar-automàticament a cada reinici.

Al Windows, el backdoor també intentarà camuflar com un procés MsMpEng.exe, la utilitat antimalware i spyware Windows Defensar de Microsoft. A Linux es camuflarà emulant la utilitat de notificacions de noves actualitzacions (UpdateNotifier) ​​d'Ubuntu i reanomenareu seu procés com [Kworker / U8: 7-ev], El que està relacionat amb el nucli de Linux.

ACBackdoor envia informació via HTTPS

Per comunicar-se amb el servidor C2, ambdues variants de malware usen HTTPS com a canal de comunicació, Enviant tota la informació recollida com una càrrega codificada BASE64. D'altra banda, ACBackdoor pot rebre informació, executar i actualitzar ordres des d'aquest servidor C2, el que permet als seus amos executar comandaments de Shell, binaris i actualitzar el malware ja present en un sistema infectat.

La millor manera d'evitar aquest i altres problemes amb programari maliciós és el sentit comú. El primer és no visitar pàgines webs de dubtosa procedència, cosa a la qual ajuda un navegador modern que ens avisa si un web és / pot ser perillosa. D'altra banda, i això val per a qualsevol sistema operatiu, val la pena tenir sempre bé actualitzat el programari que estem fent servir. No existeix el programari perfecte, el que inclou els sistemes operatius, i ACBackdoor és l'última prova.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   anonimo va dir
    fa 4 anys

    Basat en flashplayer ... .hagan el favor de fer-se veure amb un psiquiatre.
    Qui és el opa la galleda que encara segueix usant flashplayer, fa anys que això no existeix mes.
    Siceramente crec que aquesta premsa és paga per disfamar a gnu / linux, no em queden moltes mes opcions de pensar, malament, malament, MOLT MAL.

    Respondre a anonimo
    1.    HACKERCRAC3850K va dir
      fa 4 anys

      Si tens un portàtil o PC i fas servir el seu navegador, el que sigui, estic segur que faràs servir tova Flash player, perquè sense això no et surten la meitat d'anuncis i tampoc funcionen bé les pàgines bé. Si no saps del tema, no diguis res

      Respondre a HACKERCRAC3850K
  2.   Daniel va dir
    fa 4 anys

    Ufffff, a cuidar-llavors dels llocs dubtosos, en els nostres dies pràcticament ningú està totalment fora de perill. Molt bon article compare, salutacions.

    Respondre Daniel
  3.   Lleó va dir
    fa 4 anys

    S'han creat eines de neteja per a Linux contra aquestes infeccions?

    Respondre a Leo
    1.    Pepe va dir
      fa 4 anys

      Eines de neteja?
      Serà instal·lar un antimalware, ni mes ni menys. Per això no ús linux, qualsevol cosa que es coli aquí es queda, només veure alguns servidors amb troians dins per anys.

      Respondre a Pepe