HiddenWasp, il nuovo malware che prende di mira Linux

La società di sicurezza informatica Intezer ha rivelato di aver scoperto una nuova backdoor su sistemi Linux. Si chiama HiddenWasp ed è un malware molto complesso che è riuscito ad aggirare i meccanismi di rilevamento degli antivirus. Secondo Intezer Labs il malware HiddenWasp sarebbe stato creato da un gruppo di hacker di origine cinese con l’obiettivo di controllare da remoto server e computer.

Linux fa i conti con HiddenWasp

Ad oggi sappiamo che il malware è in realtà una suite avanzata che comprende un rootkit, un trojan e uno script iniziale che serve per far scattare l’infezione. Secondo quanto spiegato dal ricercatore Nacho Sanmillan, il codice di HiddenWasp somiglierebbe molto alla variante Linux di Winnti, anch’esso riconducibile a cybercriminali informatici cinesi. Diverse caratteristiche del nuovo malware avrebbero molti elementi in comune con altri software malevoli, come il rootkit open source Azazel e le minacce ChinaZ ed Elknot. I ricercatori non sono però riusciti a ricostruire le modalità di infezione di HiddenWasp: sembra che il software maligno sia stato utilizzato in sistemi già compromessi e controllati dagli hacker. Il malware servirebbe quindi come elemento per controllare da remoto dispositivi infettati in precedenza. Una difesa già bucata rende HiddenWasp ancora più pericoloso: il programma può interagire con il filesystem, caricare, scaricare ed eseguire file o lanciare comandi da terminale. In parole povere è un trojan usato per controllare da remoto i sistemi infetti.

Ignacio Sanmillan di Intezer ha dichiarato quanto segue:

“I malware per Linux potrebbero introdurre nuove sfide mai viste su altre piattaforme. Il fatto che questo malware riesca a passare inosservato dovrebbe suonare come campanello d’allarme per l’industria di sicurezza, in modo che quest’ultima possa allocare maggiori sforzi e risorse per il rilevamento di queste minacce”.

Per verificare la presenza dell’infezione sui propri sistemi è necessario controllare i file “ld.so” che non contengono la stringa “/etc/ld.so.preload.”. Il malware prevede la modifica delle istanze ld.so in modo da forzare le attività previste dall’aggressione. Per ulteriori dettagli vi rimando al post pubblicato sul sito ufficiale di Intezer.

Fonte: LFFL.ORG

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.