Ir para conteúdo
  • Cadastre-se

Usuários de Linux e Windows são direcionados ao novo malware ACBackdoor


DELTA SERVERS

Posts Recomendados

acbackdoor_deltaservers.png

Recentemente os usuários de Linux e Windows estão sendo direcionados ao novo Malware ACBackdoor. Veja todos detalhes e como pode se prevenir contra esse Malware.

Pesquisadores descobriram um novo Backdoor multiplataforma que infecta sistemas Windows e Linux, permitindo que os invasores executem códigos e binários maliciosos nas máquinas comprometida.

O Malware chamado ACBackdoor é desenvolvido por um grupo de ameaças com experiência no desenvolvimento de ferramentas maliciosas para a plataforma Linux, com base na maior complexidade da variante Linux, como descobriu o pesquisador de segurança da Intezer, Ignacio Sanmillan.

"O ACBackdoor fornece execução arbitrária de comandos do shell, execução binária arbitrária, persistência e recursos de atualização", descobriu o pesquisador do Intezer.

Vetores de infecção e Malware portado:

Ambas as variantes compartilham o mesmo servidor de comando e controle (C2), mas os vetores de infecção que eles usam para infectar suas vítimas são diferentes: a versão do Windows está sendo promovida através de Malvertising com a ajuda do Fallout Exploit Kit enquanto a carga útil do Linux é descartada por meio de uma ainda sistema de entrega desconhecido.

A versão mais recente deste kit de exploração, analisada pelo pesquisador nao_sec em setembro, tem como alvo as vulnerabilidades CVE-2018-15982 (Flash Player) e CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine) para infectar visitantes de sites controlados por invasores com Malware.

Felizmente, "a variante do Windows desse Malware não representa uma ameaça complexa em termos de Malware do Windows", diz Sanmillan.

A versão para Windows do ACBackdoor também parece ter sido transportada do Linux, uma vez que o pesquisador descobriu que compartilha várias sequências específicas do Linux, como caminhos pertencentes a um sistema de arquivos Linux ou nomes de processos de threads do kernel.

imagem-01.png

Além de infectar as vítimas por um vetor desconhecido, o binário malicioso do Linux é detectado por apenas um dos mecanismos de verificação AntiMalware do VirusTotal no momento em que este artigo foi publicado, enquanto o do Windows é detectado por 37 dos 70 mecanismos.

O binário Linux também é mais complexo e possui recursos maliciosos extras, embora compartilhe um fluxo de controle e uma lógica semelhantes à versão do Windows.

O implante Linux foi visivelmente escrito melhor que o Windows, destacando a implementação do mecanismo de persistência, juntamente com os diferentes comandos de BackDoor e recursos adicionais não vistos na versão do Windows, como criação de processo independente e renomeação de processo, afirma o relatório.

Recursos maliciosos de Backdoor:

Depois de infectar o computador da vítima, o Malware começará a coletar informações do sistema, incluindo sua arquitetura e endereço MAC, usando ferramentas específicas da plataforma para isso, com funções da API do Windows no Windows e programa UNIX uname comumente é usado para imprimir informações do sistema.

Depois de concluir as tarefas de coleta de informações, o ACBackdoor adicionará uma entrada de registro no Windows e criará vários links simbólicos, além de um script initrd no Linux para obter persistência e ser iniciado automaticamente na inicialização do sistema.

O Backdoor também tentará se camuflar como processo MsMpEng.exe, o utilitário AntiMalware e AntiSpyWare da Microsoft, Windows Defender, enquanto no Linux se disfarçará como o utilitário Ubuntu UpdateNotifier e renomeará seu processo para [kworker / u8: 7-ev] , um thread do kernel do Linux.

imagem-02.png

Para se comunicar com seu servidor C2, ambas as variantes de Malware usam o protocolo HTTPS (Hypertext Transfer Protocol Secure) como um canal de comunicação, com todas as informações coletadas sendo enviadas como uma carga útil codificada em BASE64.

O ACBackdoor pode receber informações, executar, executar e atualizar comandos do servidor C2, permitindo que seus operadores executem comandos Shell, executem um binário e atualizem o Malware no sistema infectado.

"Como não há informações atribuíveis documentadas neste Backdoor, existe a possibilidade de que um grupo conhecido de ameaças baseado em Linux esteja atualizando seu conjunto de ferramentas", conclui Sanmillan.

E você, o que tem a comentar sobre essa nova atividade de infecção de Malware para as plataformas Windows e Linux?

Deixe seu comentário abaixo para sabermos à sua opinião.

 

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?