Los investigadores han descubierto un malware multiplataforma previamente no detectado que apunta a plataformas Windows y Linux para robar información confidencial de máquinas comprometidas. El malware, denominado ACbackdoor, viene en variantes de Windows y Linux, siendo este último más sofisticado, lo que sugiere que la puerta trasera fue creada por un grupo de amenazas con más experiencia en el desarrollo de herramientas maliciosas para la plataforma Linux, según un último informe de Intezer .
"ACBackdoor proporciona ejecución arbitraria de comandos de shell, ejecución binaria arbitraria, persistencia y capacidades de actualización", encontró la empresa.
La variante de Linux tiene una tasa de detección muy baja (el binario malicioso de Linux solo es detectado por uno de los motores de exploración antimalware en VirusTotal), mientras que la variante de Windows es detectada por 37 de 70 soluciones antivirus.
El binario de Linux es un archivo ELF vinculado estáticamente, mientras que el binario de Windows es un archivo PE vinculado dinámicamente. Si bien ambas versiones comparten prácticamente la misma funcionalidad (con algunas diferencias menores en términos de implementación) y se comunican con el mismo servidor de comando y control, utilizan diferentes métodos de entrega para infectar los sistemas de destino: la variante de Windows se está propagando a través del Fallout Exploit Kit, mientras que el vector de infección que usa la versión de Linux es aún desconocido.
La versión de Linux es más compleja que la de Windows, aunque ambas variantes comparten un flujo de control y una lógica similares.
"El implante de Linux se ha escrito notablemente mejor que el implante de Windows, destacando la implementación del mecanismo de persistencia junto con los diferentes comandos de puerta trasera y características adicionales que no se ven en la versión de Windows, como la creación de procesos independientes y el cambio de nombre de procesos", dijeron los investigadores.
Una vez que la variante de Windows infecta la máquina de una víctima, recopila información de arquitectura, sistema y dirección MAC llamando a las funciones correspondientes de la API de Windows. La variante de Linux utiliza "una técnica diferente que se basa principalmente en una llamada de sistema única para recuperar la arquitectura y la información del sistema, además de una combinación de llamadas de sistema socket / ioctl para recuperar la dirección MAC".
Una vez que se ha recopilado la información, ACbackdoor agregará una entrada de registro en Windows (la variante de Windows) o creará varios enlaces simbólicos, así como un script initrd en Linux (la versión de Linux) para ganar persistencia y se iniciará automáticamente al iniciar el sistema.
Para no levantar sospechas, el malware intenta enmascararse como una utilidad Anti Spyware de Microsoft (MsMpEng.exe) o como la utilidad de actualización de lanzamiento de Ubuntu (notificador de actualización).
Para comunicarse con su servidor de comando y control, ambas versiones de malware utilizan el Protocolo seguro de transferencia de hipertexto (HTTPS) como canal de comunicación, y toda la información recopilada se envía como una carga útil codificada BASE64.
“Podemos evaluar con gran confianza que este grupo de amenazas tiene experiencia en el desarrollo de malware basado en Linux. Debido a que no hay información atribuible documentada en esta puerta trasera, existe la posibilidad de que algún grupo conocido de amenazas basado en Linux esté actualizando su conjunto de herramientas ”, escribieron los investigadores.
