Utilisateurs Linux et Windows ciblés par un nouveau malware ACBackdoor – Bien choisir son serveur d impression

Les chercheurs ont découvert une nouvelle porte dérobée multi-plateforme qui infecte les systèmes Windows et Linux permettant aux attaquants d'exécuter du code malveillant et des binaires sur les machines compromises. Le malware surnommé ACBackdoor est développé par un groupe de menaces expérimenté dans le développement d'outils malveillants pour la plate-forme Linux basé sur la complexité plus élevée de la variante Linux, comme l'a découvert le chercheur en sécurité d'Intezer Ignacio Sanmillan. "ACBackdoor fournit l'exécution arbitraire des commandes shell, l'exécution binaire arbitraire, la persistance et les capacités de mise à jour", a constaté le chercheur d'Intezer. Vecteurs d'infection et logiciels malveillants portés Les deux variantes partagent le même serveur de commande et de contrôle (C2), mais les vecteurs d'infection qu'ils utilisent pour infecter leurs victimes sont différents: la version Windows est poussée par malvertising à l'aide du Fallout Exploit Kit tandis que la charge utile Linux est abandonnée via un système de livraison inconnu. La dernière version de ce kit d'exploitation, analysée par le chercheur nao_sec en septembre, cible les vulnérabilités CVE-2018-15982 (Flash Player) et CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine) pour infecter les visiteurs des sites contrôlés par des attaquants avec malware. Heureusement, "la variante Windows de ce malware ne représente pas une menace complexe en termes de malware Windows", explique Sanmillan. La version Windows d'ACBackdoor semble également avoir été portée à partir de celle de Linux, car le chercheur a découvert qu'ils partagent plusieurs chaînes spécifiques à Linux comme des chemins appartenant à un système de fichiers Linux ou des noms de processus de thread noyau.