ACBackdoor es un poderoso malware multiplataforma descubierto por el investigador de seguridad de Nao Sec, el hecho de ser multiplataforma es que es un virus que no solo afecta al ya conocido y vulnerable sistema operativo Windows, sino también a los usuarios Linux.
Los investigadores publicaron el extraño hallazgo en el sitio Intezer, donde describen la forma de operación y la estructura de ACBackdoor, el malware que también puede vulnerar el sistema operativo Linux.
ACBackdoor proporciona ejecución arbitraria de comandos de shell, ejecución binaria arbitraria, persistencia y capacidades de actualización.
#FalloutEK -> Unknown malware…🤔https://t.co/DWYWeDiVu3 pic.twitter.com/CmOqfYzj31
— nao_sec (@nao_sec) November 11, 2019
Según los investigadores, el backdoor para Windows no representa una amenaza real en “en términos de malware”, sin embargo, para Linux la variante podría ser realmente peligrosa señala la fuente. Esto se debe a que cuenta con más detalles a nivel de código.
En el código se observan varias cadenas específicas de Linux, rutas al sistema de archivos o nombres de procesos de subprocesos del núcleo: “El implante de Linux se ha escrito notablemente mejor que el implante de Windows, destacando la implementación del mecanismo de persistencia junto con los diferentes comandos de puerta trasera y características adicionales que no se ven en la versión de Windows, como la creación de procesos independientes y el cambio de nombre de procesos”, indica el informe.
Los investigadores señalan que los hackers que desarrollaron la versión Windows tal vez no tienen el conocimiento necesario para migrar el virus de Linux a Windows. Después que el malware serializa la data recopilando la información de arquitectura, sistema y dirección MAC de la víctima, llama a una serie de funciones de la API de Windows.
Mientras que en Linux el malware recupera la información de la arquitectura y el sistema a través de una combinación de llamadas al sistema socket / ioctl para recuperar la dirección MAC de la víctima. La versión de malware en Linux configurará varios enlaces simbólicos y agregará un script initrd para que el malware también se ejecute al iniciar el sistema.
Si eres usuario de Linux o Windows y quieres verificar si tu equipo fue afectado por ACBackdoor solo debes subir los archivos analyze.intezer.com.
