hiddenwasp_monzapcblog

La firma di sicurezza Intezer ha riportato l’esistenza di HiddenWasp, un nuovo malware avanzato per Linux che è riuscito ad aggirare il rilevamento degli antivirus e che apparentemente è già stato utilizzato in attacchi estremamente mirati. HiddenWasp è in realtà un’intera suite malevola che include un trojan, un rootkit e uno script di distribuzione che non è stata rilevata, al tempo della scoperta, da nessuno dei 59 motori antivirus monitorati dal’azienda.

Secondo Intezer il malware è stato creato nel mese di aprile e pare che il server command and control utilizzato dalla suite per attaccare i sistemi affetti dal malware sia ancora attivo e funzionante. Grazie agli indizi analizzati l’azienda di sicurezza ha scoperto che il malware si trova al momento probabilmente in uno stadio avanzato dell’attacco, con gli aggressori che hanno già iniziato a servire un codice avanzato sui sistemi di interesse dopo aver inoculato una prima versione embrionale infettando i sistemi.

Con la più avanzata versione del pacchetto malevolo gli aggressori possono scaricare ed eseguire codice, caricare file ed eseguire diversi comandi con l’obiettivo di controllare da remoto in maniera profonda i computer infettati. Si tratta quasi di una novità su Linux, dove la maggior parte dei malware vengono utilizzati per attacchi DDoS o per il mining di criptovalute.

Ignacio Sanmillan di Intezer ha scritto: “I malware per Linux potrebbero introdurre nuove sfide mai viste su altre piattaforme. Il fatto che questo malware riesca a passare inosservato dovrebbe suonare come campanello d’allarme per l’industria di sicurezza, in modo che quest’ultima possa allocare maggiori sforzi e risorse per il rilevamento di queste minacce”.

Una parte del codice utilizzato su HiddenWasp sembra essere preso in prestito da Mirai, mentre altre parti hanno aspetti simili rispetto a malware già consolidati nell’ambiente, come il rootkit Azazel o Winnti-Linux, porting della variante per Windows.

Dal rilascio della backdoor da parte di Intezer sono cresciute le rilevazioni da parte degli antivirus di HiddenWasp, anche se il tutto sta procedendo un po’ a rilento. Mercoledì l’azienda ha anche rilasciato alcune informazioni per verificare la presenza dell’infezione sui propri sistemi, ad esempio la presenza di file “ld.so” che non contengono la stringa “/etc/ld.so.preload.”. Questo è necessario per il funzionamento del malware, visto che l’attacco prevede la modifica delle istanze ld.so in modo da forzare le attività previste dall’aggressione.

Per un approfondimento trovate tutte le informazioni su HiddenWasp sul sito ufficiale Intezer.

Banner-Telegram-06

LASCIA UN COMMENTO

Inserisci il tuo commento!
Inserisci qui il tuo nome