Una versión para Linux de una puerta trasera multiplataforma llamada DinodasRAT Se ha detectado en la naturaleza en China, Taiwán, Turquía y Uzbekistán. nuevos hallazgos de Kaspersky revela.
DinodasRAT, también conocido como XDealer, es un malware basado en C++ que ofrece la capacidad de recopilar una amplia gama de datos confidenciales de hosts comprometidos.
En octubre de 2023, la empresa eslovaca de ciberseguridad ESET reveló que una entidad gubernamental en Guyana ha sido atacada como parte de una campaña de ciberespionaje denominada Operación Jacana para implementar la versión para Windows del implante.
Luego, la semana pasada, Trend Micro detallado un grupo de actividades de amenazas que rastrea como Earth Krahang y que ha pasado a utilizar DinodasRAT desde 2023 en sus ataques dirigidos a varias entidades gubernamentales en todo el mundo.
El uso de DinodasRAT se ha atribuido a varios actores de amenazas del nexo con China, incluidos luoyulo que refleja una vez más el intercambio de herramientas que prevalece entre los equipos de hackers identificados como que actúan en nombre del país.
Kaspersky dijo que descubrió una versión para Linux del malware (V10) a principios de octubre de 2023. La evidencia recopilada hasta ahora muestra que la primera variante conocida (V7) se remonta a 2021.
Está diseñado principalmente para distribuciones basadas en Red Hat y Ubuntu Linux. Tras la ejecución, establece persistencia en el host mediante el uso de scripts de inicio SystemV o SystemD y se comunica periódicamente con un servidor remoto a través de TCP o UDP para obtener los comandos que se ejecutarán.
DinodasRAT está equipado para realizar operaciones de archivos, cambiar direcciones de comando y control (C2), enumerar y finalizar procesos en ejecución, ejecutar comandos de shell, descargar una nueva versión de la puerta trasera e incluso desinstalarse.
También toma medidas para evadir la detección mediante herramientas de depuración y monitoreo y, al igual que su contraparte de Windows, utiliza el algoritmo de cifrado Tiny (TÉ) para cifrar las comunicaciones C2.
«El principal caso de uso de DinodasRAT es obtener y mantener el acceso a través de servidores Linux en lugar de reconocimiento», dijo Kaspersky. «La puerta trasera es totalmente funcional y otorga al operador un control total sobre la máquina infectada, lo que permite la filtración de datos y el espionaje».