acbackdoor_deltaservers.png

Recentemente os usuários de Linux e Windows estão sendo direcionados ao novo Malware ACBackdoor. Veja todos detalhes e como pode se prevenir contra esse Malware.

Pesquisadores descobriram um novo Backdoor multiplataforma que infecta sistemas Windows e Linux, permitindo que os invasores executem códigos e binários maliciosos nas máquinas comprometida.

O Malware chamado ACBackdoor é desenvolvido por um grupo de ameaças com experiência no desenvolvimento de ferramentas maliciosas para a plataforma Linux, com base na maior complexidade da variante Linux, como descobriu o pesquisador de segurança da Intezer, Ignacio Sanmillan.

"O ACBackdoor fornece execução arbitrária de comandos do shell, execução binária arbitrária, persistência e recursos de atualização", descobriu o pesquisador do Intezer.

Vetores de infecção e Malware portado:

Ambas as variantes compartilham o mesmo servidor de comando e controle (C2), mas os vetores de infecção que eles usam para infectar suas vítimas são diferentes: a versão do Windows está sendo promovida através de Malvertising com a ajuda do Fallout Exploit Kit enquanto a carga útil do Linux é descartada por meio de uma ainda sistema de entrega desconhecido.

A versão mais recente deste kit de exploração, analisada pelo pesquisador nao_sec em setembro, tem como alvo as vulnerabilidades CVE-2018-15982 (Flash Player) e CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine) para infectar visitantes de sites controlados por invasores com Malware.

Felizmente, "a variante do Windows desse Malware não representa uma ameaça complexa em termos de Malware do Windows", diz Sanmillan.

A versão para Windows do ACBackdoor também parece ter sido transportada do Linux, uma vez que o pesquisador descobriu que compartilha várias sequências específicas do Linux, como caminhos pertencentes a um sistema de arquivos Linux ou nomes de processos de threads do kernel.

imagem-01.png

Além de infectar as vítimas por um vetor desconhecido, o binário malicioso do Linux é detectado por apenas um dos mecanismos de verificação AntiMalware do VirusTotal no momento em que este artigo foi publicado, enquanto o do Windows é detectado por 37 dos 70 mecanismos.

O binário Linux também é mais complexo e possui recursos maliciosos extras, embora compartilhe um fluxo de controle e uma lógica semelhantes à versão do Windows.

O implante Linux foi visivelmente escrito melhor que o Windows, destacando a implementação do mecanismo de persistência, juntamente com os diferentes comandos de BackDoor e recursos adicionais não vistos na versão do Windows, como criação de processo independente e renomeação de processo, afirma o relatório.

Recursos maliciosos de Backdoor:

Depois de infectar o computador da vítima, o Malware começará a coletar informações do sistema, incluindo sua arquitetura e endereço MAC, usando ferramentas específicas da plataforma para isso, com funções da API do Windows no Windows e programa UNIX uname comumente é usado para imprimir informações do sistema.

Depois de concluir as tarefas de coleta de informações, o ACBackdoor adicionará uma entrada de registro no Windows e criará vários links simbólicos, além de um script initrd no Linux para obter persistência e ser iniciado automaticamente na inicialização do sistema.

O Backdoor também tentará se camuflar como processo MsMpEng.exe, o utilitário AntiMalware e AntiSpyWare da Microsoft, Windows Defender, enquanto no Linux se disfarçará como o utilitário Ubuntu UpdateNotifier e renomeará seu processo para [kworker / u8: 7-ev] , um thread do kernel do Linux.

imagem-02.png

Para se comunicar com seu servidor C2, ambas as variantes de Malware usam o protocolo HTTPS (Hypertext Transfer Protocol Secure) como um canal de comunicação, com todas as informações coletadas sendo enviadas como uma carga útil codificada em BASE64.

O ACBackdoor pode receber informações, executar, executar e atualizar comandos do servidor C2, permitindo que seus operadores executem comandos Shell, executem um binário e atualizem o Malware no sistema infectado.

"Como não há informações atribuíveis documentadas neste Backdoor, existe a possibilidade de que um grupo conhecido de ameaças baseado em Linux esteja atualizando seu conjunto de ferramentas", conclui Sanmillan.

E você, o que tem a comentar sobre essa nova atividade de infecção de Malware para as plataformas Windows e Linux?

Deixe seu comentário abaixo para sabermos à sua opinião.



Monday, December 9, 2019





« Voltar

Powered by WHMCompleteSolution