El malware TrickBot Anchor Linux ahora infecta los sistemas Linux y Windows

Se dice que TrickBot, un malware de Windows que actúa como una puerta trasera para varias otras cargas útiles, está tomando una nueva forma. Nuevos informes dicen que el malware Anchor de TrickBot tiene una versión de Linux, que también carga el ejecutable de Windows para infectar los sistemas Linux y Windows en la misma red.

El malware TrickBot Anchor Linux infecta más sistemas Windows

TrickBot se ha convertido recientemente en uno de los programas maliciosos de puerta trasera de confianza. Investigadores de seguridad como SentinelOne y NTT han informado que TrickBot’s Anchor usa el marco de DNS para comunicarse con el C2 del hacker y se ha convertido en un malware multidisciplinario para robar datos, contraseñas, infiltración de dominios de Windows y, lo más importante, ¡actuar como una puerta trasera!

anchor_linux
anchor_linux

Esta característica especial de tuning como puerta trasera atrajo a otros actores de amenazas a comprar este ancla TrickBot para entregar su carga a través de su puerta trasera. Esto incluye a los autores de ransomware como los grupos Ryuk y Conti. Y ahora, un nuevo informe de Waylon Grange desde Seguridad de la etapa 2 dice el Malware Anchor de TrickBot tiene una versión de Linux!

Esta nueva portabilidad también está dirigida a máquinas con Windows, pero primero infectando sistemas Linux. Llamado Anchor_Linux, este nuevo malware se configurará usando el protocolo remoto Service Control Manager y SMB SVCCTL, para desbloquear Windows TrickBot en él. Después de configurar el ejecutable de Windows, se conecta al C2 del pirata informático para los comandos.

Vitali Kremez de Advanced Intel también analizó las muestras de este malware y dijo: «El malware actúa como una herramienta de persistencia de puerta trasera oculta en el entorno UNIX, utilizada como eje para la explotación de Windows y también como un vector de ataque inicial poco ortodoxo fuera del phishing por correo electrónico. Permite al grupo llegar e infectar servidores en un entorno UNIX (como enrutadores) y usarlo para conectarse a redes corporativas.«

Por lo tanto, todos los dispositivos de IoT como enrutadores, computadoras, NAS y dispositivos VPN que ejecutan versiones de Linux pueden verse afectados por este nuevo malware Anchor_Linux de TrickBot. Si está utilizando un sistema Linux y desea comprobar si está infectado, busque un archivo de registro como /tmp/anchor.log. Será creado por Anchor_Linux y, si existe, auditará su sistema en busca de posibles puertas traseras.