Los investigadores han descubierto un malware multiplataforma previamente no detectado que apunta a plataformas Windows y Linux para robar información confidencial de máquinas comprometidas. El malware, denominado ACbackdoor, viene en variantes de Windows y Linux, siendo este último más sofisticado, lo que sugiere que la puerta trasera fue creada por un grupo de amenazas con más experiencia en el desarrollo de herramientas maliciosas para la plataforma Linux, según un último informe de Intezer .
“ACBackdoor proporciona ejecución arbitraria de comandos de shell, ejecución binaria arbitraria, persistencia y capacidades de actualización”, encontró la empresa.
El binario de Linux es un archivo ELF vinculado estáticamente, mientras que el binario de Windows es un archivo PE vinculado dinámicamente. Si bien ambas versiones comparten prácticamente la misma funcionalidad (con algunas diferencias menores en términos de implementación) y se comunican con el mismo servidor de comando y control, utilizan diferentes métodos de entrega para infectar los sistemas de destino: la variante de Windows se está propagando a través del Fallout Exploit Kit, mientras que el vector de infección que usa la versión de Linux es aún desconocido.
La versión de Linux es más compleja que la de Windows, aunque ambas variantes comparten un flujo de control y una lógica similares.
Una vez que la variante de Windows infecta la máquina de una víctima, recopila información de arquitectura, sistema y dirección MAC llamando a las funciones correspondientes de la API de Windows. La variante de Linux utiliza “una técnica diferente que se basa principalmente en una llamada de sistema única para recuperar la arquitectura y la información del sistema, además de una combinación de llamadas de sistema socket / ioctl para recuperar la dirección MAC”.
Para no levantar sospechas, el malware intenta enmascararse como una utilidad Anti Spyware de Microsoft (MsMpEng.exe) o como la utilidad de actualización de lanzamiento de Ubuntu (notificador de actualización).
Para comunicarse con su servidor de comando y control, ambas versiones de malware utilizan el Protocolo seguro de transferencia de hipertexto (HTTPS) como canal de comunicación, y toda la información recopilada se envía como una carga útil codificada BASE64.
“Podemos evaluar con gran confianza que este grupo de amenazas tiene experiencia en el desarrollo de malware basado en Linux. Debido a que no hay información atribuible documentada en esta puerta trasera, existe la posibilidad de que algún grupo conocido de amenazas basado en Linux esté actualizando su conjunto de herramientas ”, escribieron los investigadores.