HiddenWasp, il nuovo malware che prende di mira Linux

La società di sicurezza informatica Intezer ha rivelato di aver scoperto una nuova backdoor su sistemi Linux. Si chiama HiddenWasp ed è un malware molto complesso che è riuscito ad aggirare i meccanismi di rilevamento degli antivirus.

Secondo Intezer Labs il malware HiddenWasp sarebbe stato creato da un gruppo di hacker di origine cinese con l’obiettivo di controllare da remoto server e computer.

Linux fa i conti con HiddenWasp

Ad oggi sappiamo che il malware è in realtà una suite avanzata che comprende un rootkit, un trojan e uno script iniziale che serve per far scattare l’infezione.

Secondo quanto spiegato dal ricercatore Nacho Sanmillan, il codice di HiddenWasp somiglierebbe molto alla variante Linux di Winnti, anch’esso riconducibile a cybercriminali informatici cinesi. Diverse caratteristiche del nuovo malware avrebbero molti elementi in comune con altri software malevoli, come il rootkit open source Azazel e le minacce ChinaZ ed Elknot.

linux hiddenwasp malwareI ricercatori non sono però riusciti a ricostruire le modalità di infezione di HiddenWasp: sembra che il software maligno sia stato utilizzato in sistemi già compromessi e controllati dagli hacker. Il malware servirebbe quindi come elemento per controllare da remoto dispositivi infettati in precedenza. Una difesa già bucata rende HiddenWasp ancora più pericoloso: il programma può interagire con il filesystem, caricare, scaricare ed eseguire file o lanciare comandi da terminale. In parole povere è un trojan usato per controllare da remoto i sistemi infetti.

Ignacio Sanmillan di Intezer ha dichiarato quanto segue:

I malware per Linux potrebbero introdurre nuove sfide mai viste su altre piattaforme. Il fatto che questo malware riesca a passare inosservato dovrebbe suonare come campanello d’allarme per l’industria di sicurezza, in modo che quest’ultima possa allocare maggiori sforzi e risorse per il rilevamento di queste minacce.

Per verificare la presenza dell’infezione sui propri sistemi è necessario controllare i file “ld.so” che non contengono la stringa “/etc/ld.so.preload.”. Il malware prevede la modifica delle istanze ld.so in modo da forzare le attività previste dall’aggressione.

Per ulteriori dettagli vi rimando al post pubblicato sul sito ufficiale di Intezer.

L’articolo HiddenWasp, il nuovo malware che prende di mira Linux sembra essere il primo su Lffl.org.

Tratto da: https://www.lffl.org/feed
lffl linux freedom by LffL is licensed under a Creative Commons Attribuzione – Non commerciale – Non opere derivate 3.0 Unported License.