Dacls es un nuevo troyano de acceso remoto (RAT) que afecta tanto a usuarios de Windows como de Linux. Según los investigadores y el análisis publicado por Qihoo 360 Netlab, Dacls ha sido desarrollado por el grupo Lazarus y es un complejo troyano de acceso remoto que tiene la funcionalidad de atacar tanto a sistemas Windows como Linux.
En el caso del complemento Win32.Dacls se carga dinámicamente a través de una URL remota. Por parte de Linux.Dacls utiliza 6 módulos de complemento diferentes que incluyen ejecución de comandos, gestión de archivos, gestión de procesos, acceso a la red de prueba, agente de conexión C2, escaneo de red.
Este troyano multiplataforma y su protocolo C&C utilizan el cifrado de doble capa TLS y RC4, el archivo de configuración utiliza el cifrado AES y admite la actualización dinámica a través de C&C.
Los investigadores indican que este troyano se basa en vulnerabilidades existentes como CVE-2019-3396, un exploit para Atlassian Confluence Una vez más estamos ante un caso en el que nos muestran la importancia de mantener siempre los equipos actualizados, así como las diferentes aplicaciones y servicios que utilicemos.
Fuente: SecurityAffairs