Nuevo malware ACBackdoor afecta a Windows y Linux

Expertos en ciberseguridad han descubierto un nuevo backdoor (puerta trasera) capaz de infectar plataformas Linux y Windows por igual. Permite a los atacantes ejecutar código dañino y ejecutables en equipos que resulten comprometidos. Se trata de ACBackdoor.

Este malware lo ha desarrollado un grupo con amplia experiencia en lanzar herramientas maliciosas para sistemas Linux, basándose en la mayor complejidad de la versión para Linux, según explica el experto Ignacio Sanmillán.

ACBackdoor proporciona ejecución arbitraria de comandos de shell, ejecución de binariso, persistencia y capacidad de actualización[…]

Intezer

ACBackdoor, vectores de infección y características

Tanto la variante Windows como la diseñada para Linux comparten el mismo C2 o Command-&-Control, el servidor del que reciben instrucciones y código. Sin embargo sus vectores de infección difieren.

La versión Windows se distribuye mediante malvertising gracias al uso del kit de Exploit Fallout. La última versión de este kit fue analizada en septiembre por Nao_sec y ataca las vulnerabilidades CVE-2018-8174 y 2018-15982 sobre Microsoft VBScript Engine y Adobe Flash Player, respectivamente.

Lo bueno es que, según comenta desde Intezer, la versión del malware para Windows «no representa un problema complejo en términos de infección».

La versión de Windows comparte con la de Linux ciertos strings o lineas en su código, como se puede ver en las rutas relacionadas con sistemas de archivos o con nombres de procesos del kernel.

Aparte de infectar a las víctimas con un vector desconocido de entrada, el binario malicioso de Linux se detecta por ahora solo en uno de los motores antivirus y antimalware de Virustotal, mientras la detección para la variante Windows se mucho más alta: 37 de 70 motores antivirus.

Capacidades de esta puerta trasera

El binario de Linux es más complejo y tiene capacidades extra respecto del anterior, aunque el control de flujo y la lógica son muy similares.

Principalmente hablamos de la ventaja en cuanto a persistencia y capacidades como creación de procesos independientes y renombramiento de los mismos.

Tras infectar un equipo, el malware comienza a recopilar información del sistema, como su arquitectura y dirección MAC, usando herramientas propias de la plataforma (funciones API en Windows, binario uname en UNIX/Linux)

Después se despliega una clave de registro en caso de Windows, creando varios enlaces simbólicos; en Linux, se trata de un script ubicado en initrd que garantiza persistencia y carga automática en sucesivos reinicios.

La fase de ocultación implica intentar hacerlo pasar por el proceso MsMpEng.exe de Windows, un proceso familiar que no es otro que el del propio antivirus de Windows 10.

En Linux, se intentará camuflar como Ubuntu UpdateNotifier y renombrar su proceso a la cadena de procesos del kernel [kworker/u8:7-ev].

ACBackdoor puede recibir comandos como info, run, execute y update desde el servidor, lo que permite a su dueño ejecuta comandos en la shell, abrir un binario y actualizar el malware.

Para comunicarse con el servidor de control o C2, ambos malware utilizarán HTTPS como canal de comunicación, enviando todos los datos codificados en formato Base64.

Más información en Intezer