Saltar al contenido

¡Tener cuidado! TrickBot Malware ahora está infectando dispositivos Linux

Linux malware

El notorio malware TrickBot se hizo un nombre en 2019 cuando comenzó a llevar a cabo actividades ilegales, incluido el robo de credenciales, el robo de información personal, la infiltración del dominio de Windows y también actuó como un gotero de malware.

Hasta ahora, TrickBot era conocido como un malware de Windows multipropósito con varios módulos que afectaban el sistema operativo, pero ahora uno de los módulos del marco TrickBot denominado "Anchor_DNS" ha sido portado para infectar dispositivos Linux. Anchor_DNS generalmente apunta a sistemas de alto valor para robar información financiera valiosa.

Un investigador de seguridad llamado Waylon Grange, de Stage 2 Security, descubrió que Anchor_DNS está portado a una versión de Linux llamada 'Anchor_Linux'. Con la evolución, la versión de Linux del malware puede apuntar a varios dispositivos IoT, incluidos enrutadores, dispositivos VPN y dispositivos NAS. corriendo en Linux.

Según lo analizado por Vitali Kremez de Intel avanzado, Anchor_Linux usa la siguiente entrada crontab para ejecutarse cada minuto una vez instalado:

* / 1 * * * * root (nombre de archivo)

Anchor_Linux TrickBot Malware

Se ha descubierto que el módulo no solo puede actuar como una puerta trasera para infectar dispositivos Linux eliminando malware, sino que también contiene un ejecutable Windows TrickBot incorporado. Intezer, quien encontró una muestra de malware Anchor_Linux, dice que es una nueva "puerta trasera liviana con la capacidad de propagarse a las cajas de Windows vecinas usando svcctl a través de SMB".

Curiosamente, con Anchor_Linux, los actores malos pueden apuntar a entornos que no son de Windows y pivotar a dispositivos Windows en la misma red. Hablando con Bleeping Computer, Kremez dijo:

“El malware actúa como una herramienta de persistencia encubierta de puerta trasera en el entorno UNIX que se utiliza como un pivote para la explotación de Windows, así como también como un vector de ataque inicial poco ortodoxo fuera del phishing por correo electrónico. Permite que el grupo apunte e infecte servidores en un entorno UNIX (como enrutadores) y lo use para pivotar a redes corporativas ".

¿Cómo verificar si su sistema está infectado por el malware Anchor_Linux?

Los investigadores de seguridad dicen que los usuarios de Linux pueden verificar si Anchor_linux ha apuntado a su sistema buscando el archivo "/tmp/Anchor.log". Si existe dicho archivo, se recomienda que los usuarios de Linux escaneen el sistema en busca de malware notorio.

APRENDER A CODIGAR ANUNCIO CUADRADO

Los investigadores de seguridad creen que Anchor_Linux aún se encuentra en las etapas iniciales y continuará evolucionando, lo que lo hace más dañino para los sistemas.