Una de las razones tantas veces repetidas para usar sistemas operativos alternativos es la sugerencia de que las alternativas a Windows son más seguras porque no se produce malware para estos sistemas minoritarios, en efecto, un argumento a favor de la seguridad por parte de la minoría. Por una variedad de razones, esta es una noción equivocada. La proliferación de ataques basados en la web, que son intrínsecamente multiplataforma, ya que dependen más de los navegadores que del sistema operativo subyacente en el que se ejecuta el navegador, hace que este argumento no tenga sentido.
El malware basado en Java como McRAT ha proliferado en el pasado, aunque Java en el escritorio es prácticamente inaudito en los ordenadores en 2018. Del mismo modo, con las empresas que dejan de instalar Java SE en las estaciones de trabajo , la viabilidad de ese enfoque ha disminuido. Sin embargo, los atacantes ahora están utilizando Golang de Google, que admite la compilación cruzada para ejecutarse en múltiples sistemas operativos, para apuntar a las estaciones de trabajo de Windows y Linux.
Según un informe de JPCERT, el malware WellMess puede operar en WinPE (entorno de preinstalación de Windows) y en Linux a través de ELF (formato ejecutable y enlazable). El malware le otorga a un atacante remoto la capacidad de ejecutar comandos arbitrarios, así como cargar y descargar archivos, o ejecutar scripts de PowerShell para automatizar tareas. Los comandos se transfieren al dispositivo infectado a través de solicitudes POST HTTP codificadas RC6, y los resultados de los comandos ejecutados se transmiten al servidor de C & C a través de cookies.
JPCERT ha creado una herramienta (disponible aquí) para descifrar el contenido de esas cookies, para identificar qué se está transmitiendo al servidor de C & C.
WellMess ha sido encontrado en empresas japonesas (sin nombre por el informe), aunque no está claro si los ataques están dirigidos exclusivamente a Japón, o si grupos o individuos fuera de Japón se han visto afectados. Los servidores de C & C que controlan los sistemas infectados se encuentran en Lituania, los Países Bajos, Suecia, Hong Kong y China. JPCERT informa que los ataques que usan este malware están en curso.
Mientras que WellMess está lejos de ser el primer malware que se ejecuta en sistemas Linux, la seguridad percibida de las distribuciones de Linux como un objetivo no suficientemente importante para los desarrolladores de malware ya no debería considerarse la sabiduría predominante, ya que la compilación cruzada en Golang facilitará el desarrollo de malware a una medida para los atacantes que buscan apuntar a los usuarios de escritorio de Linux. Al igual que con Windows y macOS, los usuarios de Linux en el escritorio deberían instalar algún tipo de software antivirus para protegerse contra malware como WellMess.
En términos de software libre y de código abierto, ClamAV es probablemente la mejor opción. ClamAV es un producto del equipo de inteligencia Talos de Cisco, y está disponible en los repositorios de paquetes predeterminados de la mayoría de las principales distribuciones de Linux. Es, sin embargo, una herramienta de línea de comando, haciendo que una interfaz como ClamTk o ClamAV-GUI sea necesario.
El malware WellMess puede operar en WinPE y en Linux a través de ELF, lo que permite a un atacante remoto ejecutar comandos arbitrarios, así como cargar y descargar archivos, o ejecutar scripts de PowerShell para automatizar tareas.
El uso de Golang de Google permite a los atacantes compilar de forma cruzada malware para su uso en múltiples plataformas, lo que hace que los ataques potenciales en Linux sean más triviales de ingeniar.
