ACBackdoor, nuevo malware que afecta a Linux y Windows
Hace escasos minutos hemos publicado un artículo en el que decíamos que no existe el software perfecto. Y es que navegadores como Chrome, Edge o Safari son “fáciles” de hackear. En el artículo, decíamos que el software es imperfecto, y lo es tanto en programas/apps como en sistemas operativos, pero se hablaba de vulnerabilidades encontradas en programas. Ahora nos toca hacer lo mismo, pero sobre sistemas operativos: se ha descubierto un nuevo malware que afecta a Linux y Windows y su nombre es ACBackdoor.
Tal y como ha informado Bleeping Computer, investigadores de seguridad han descubierto un nuevo backdoor multiplataforma que afecta sistemas operativos Windows y Linux. Este malware podría ser usado para ejecutar código malicioso y binarios en los equipos comprometidos. Por lo que parece, está desarrollado por un grupo con experiencia en desarrollar herramientas maliciosas para Linux, todo según palabras de Ignacio Sanmillan de Intenzer.
ACBackdoor es más peligroso en Linux que en Windows
Hay dos variantes y las dos comparten el mismo servidor de órdenes y control (C2). Las vías de infección que usan son diferentes: la versión de Windows se está promoviendo mediante publicidad maliciosa con la ayuda del Fallout Exploit Kit, mientras que la carga útil de Linux se deja caer a través de un sistema de entrega aún desconocido.
La última versión del malware tiene como objetivo las vulnerabilidades CVE-2018-15982, relacionada con Flash Player, y la CVE-2018-8174, relacionada con el motor VBScript de Internet explorer. En ambos casos, la intención es infectar a los visitantes de páginas web controladas por el atacante. Podríamos decir que, aunque insistimos en que no existe el software perfecto, en el caso de Flash Player llueve sobre mojado.
Lo más extraño, o digamos menos habitual, es que la versión de Windows no representa una amenaza compleja. La versión de ACBackdoor de Windows es un “port” de la de Linux:
El implante de Linux se ha escrito notablemente mejor que el implante de Windows, destacando la implementación del mecanismo de persistencia junto con los diferentes comandos de puerta trasera y características adicionales que no se ven en la versión de Windows, como la creación de procesos independientes y el cambio de nombre de procesos.
Cómo funciona este backdoor
Después de infectar un ordenador, el malware empezará a recoger información del sistema, lo que incluye su arquitectura y dirección MAC. Para conseguirlo, usa herramientas específicas de la plataforma, con funciones Windows API en Windows y el programa uname UNIX usado comúnmente para imprimir información del sistema en Linux. Una vez termina con las tareas de recolección de información, ACBackdoor añadirá una entrada en el registro de Windows y creará varios enlaces simbólicos, mientras que en Linux creará un script initrd para conseguir persistencia y lanzarse automáticamente en cada reinicio.
En Windows, el backdoor también intentará camuflarse como un proceso MsMpEng.exe, la utilidad antimalware y spyware Windows Defender de Microsoft. En Linux se camuflará emulando la utilidad de notificaciones de nuevas actualizaciones (UpdateNotifier) de Ubuntu y renombrará su proceso como [kworker/u8:7-ev], lo que está relacionado con el kernel de Linux.
ACBackdoor envía información vía HTTPS
Para comunicarse con el servidor C2, ambas variantes del malware usan HTTPS como canal de comunicación, enviando toda la información recogida como una carga codificada BASE64. Por otra parte, ACBackdoor puede recibir información, ejecutar y actualizar comandos desde dicho servidor C2, lo que permite a sus dueños ejecutar comandos de Shell, binarios y actualizar el malware ya presente en un sistema infectado.
La mejor manera de evitar este y otros problemas con software malicioso es el sentido común. Lo primero es no visitar páginas webs de dudosa procedencia, algo a lo que ayuda un navegador moderno que nos avisa si una web es/puede ser peligrosa. Por otra parte, y esto vale para cualquier sistema operativo, merece la pena tener siempre bien actualizado el software que estamos usando. No existe el software perfecto, lo que incluye los sistemas operativos, y ACBackdoor es la última prueba de ello.