ACBackdoor, nuovo malware che colpisce Linux e Windows
Non esiste un software perfetto e i browser come Chrome, Edge o Safari sono “facili” da hackerare. Il software è imperfetto sia quello dei programmi/app che quello dei sistemi operativi. Ora sui sistemi operativi è stato scoperto un nuovo malware che colpisce Linux e Windows e il suo nome è ACBackdoor.
Come riportato da Bleeping computer, i ricercatori di sicurezza hanno scoperto una nuova backdoor che colpisce i sistemi operativi Windows e Linux. Questo malware potrebbe essere utilizzato per eseguire codice binario dannoso su computer compromessi.
Apparentemente è sviluppato da un gruppo con esperienza nello sviluppo di strumenti malevoli per Linux, a detta di Ignacio Sanmillan di Intenzer.
Intezer ha trovato per la prima volta la variante Linux di ACBackdoor su un server ospitato in Romania. I suoi ricercatori non hanno scoperto alcuna informazione sul vettore di consegna utilizzato per questa versione della backdoor ma hanno avuto più successo con la variante Windows del malware.
ACBackdoor è più pericoloso in Linux che in Windows
Esistono due varianti e le due condividono lo stesso server di comando e controllo (C2). I percorsi di infezione che usano sono diversi: la versione di Windows viene promossa attraverso pubblicità dannose con l’aiuto del Fallout Exploit Kit mentre il payload di Linux viene rilasciato attraverso un sistema di consegna sconosciuto.
L’ultima versione di malware è rivolta alle vulnerabilità CVE-2018-15982, relative a Flash Player , e CVE-2018-8174, relative al motore VBScript di Internet Explorer. In entrambi i casi, l’intenzione è quella di infettare i visitatori delle pagine Web controllate dall’aggressore. Potremmo dire che, sebbene insistiamo sul fatto che non esiste il software perfetto, nel caso di Flash Player piove sul bagnato.
La cosa più strana, o meno normale, è che la versione di Windows non rappresenta una minaccia complessa. La versione ACBackdoor di Windows è una “ricodifica” di quella Linux :
L’impianto Linux è stato scritto notevolmente miglio rispetto all’impianto Windows, evidenziando l’implementazione del meccanismo di persistenza insieme ai diversi comandi backdoor e funzionalità aggiuntive che non si vedono nella versione Windows, come la creazione di processi indipendenti e Il nome del processo cambia.
Come funziona questa backdoor
Dopo aver infettato un computer, il malware inizierà a raccogliere informazioni sul sistema , inclusi architettura e indirizzo MAC. A tale scopo, utilizza strumenti specifici della piattaforma, con le funzioni dell’API di Windows in Windows e il programma uname comunemente usato per stampare le informazioni di sistema in Linux. Una volta terminate le attività di raccolta delle informazioni, ACBackdoor aggiungerà una voce nel registro di Windows e creerà diversi collegamenti simbolici, mentre in Linux creerà uno script initrd per ottenere la persistenza e si avvierà automaticamente ad ogni riavvio.
Su Windows, la backdoor proverà anche a mimetizzarsi come processo MsMpEng.exe, l’utilità antimalware e spyware di Microsoft Windows Defender. In Linux verrà camuffato emulando l’utilità delle notifiche di nuovi aggiornamenti (UpdateNotifier) di Ubuntu e rinominando il suo processo come [kworker/u8:7-ev] , che è correlato al kernel Linux.
ACBackdoor invia informazioni tramite HTTPS
Per comunicare con il server C2, entrambe le varianti di malware utilizzano HTTPS come canale di comunicazione, inviando tutte le informazioni raccolte come carico codificato BASE64. D’altra parte, ACBackdoor può ricevere informazioni, eseguire e aggiornare comandi da detto server C2, che consente ai suoi proprietari di eseguire comandi Shell, binari e aggiornare il malware già presente in un sistema infetto.
Il modo migliore per evitare questo e altri problemi con software dannoso è il buonsenso. La prima cosa è non visitare siti Web di dubbia provenienza, qualcosa che aiuta un browser moderno che ci dice se un sito Web è o può essere pericoloso. D’altra parte, e questo vale per qualsiasi sistema operativo, vale la pena avere il software che stiamo usando sempre ben aggiornato. Non esiste un software perfetto, incluso i sistemi operativi, e ACBackdoor ne è la prova più recente.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Si vabbè ridatemi un browser web che faccia solo il browser web lasciando la possibilità di disabilitare le funzioni inutili e vedi che il 90% delle vulnerabilità del web spariscono.
Il problema è che molte delle funzionalità che a noi utenti non servono servono invece ai colossi del web per tracciare, fare statistiche e inviare pubblicità.