Se ha observado una puerta trasera no documentada anteriormente dirigida a los sistemas Linux con el objetivo de acorralar las máquinas en una botnet y actuar como conducto para descargar e instalar rootkits.
El equipo de seguridad de Netlab de Qihoo 360 lo llamó B1txor20 «basado en su propagación usando el nombre de archivo ‘b1t’, el algoritmo de cifrado XOR y la longitud de clave del algoritmo RC4 de 20 bytes».
Observado por primera vez al propagarse a través de la vulnerabilidad Log4j el 9 de febrero de 2022, el malware aprovecha una técnica llamada tunelización de DNS para crear canales de comunicación con servidores de comando y control (C2) mediante la codificación de datos en consultas y respuestas de DNS.
B1txor20, aunque también tiene errores en algunos aspectos, actualmente admite la capacidad de obtener un shell, ejecutar comandos arbitrarios, instalar un rootkit, abrir un proxy SOCKS5 y funciones para cargar información confidencial al servidor C2.
Una vez que una máquina se ve comprometida con éxito, el malware utiliza el túnel DNS para recuperar y ejecutar los comandos enviados por el servidor.
«El bot envía la información confidencial robada, los resultados de la ejecución de comandos y cualquier otra información que deba entregarse, después de ocultarla mediante técnicas de codificación específicas, a C2 como una solicitud de DNS», explicaron los investigadores.
«Después de recibir la solicitud, C2 envía la carga útil al lado del Bot como respuesta a la solicitud de DNS. De esta manera, Bot y C2 logran la comunicación con la ayuda del protocolo DNS».
Se implementan un total de 15 comandos, entre los que destacan la carga de información del sistema, la ejecución de comandos arbitrarios del sistema, la lectura y escritura de archivos, el inicio y la detención de servicios proxy y la creación de shells inversos.