C’è un malware pericoloso a cui bisogna fare attenzione: da due anni è presente e crea danni. Ecco come individuarlo.
Sono già due anni che agisce in modo quasi del tutto indisturbato e ha provocato vari problemi, anche molto seri, a tanti utenti. Si tratta di un malware che è stato scoperto adesso. Sono stati i ricercatori di Checkpoint ad averlo individuato e a scoprire che ha agito per molto tempo su Linux.
Il malware ha installato backdoor sui sistemi favorendo così il furto di dati. A molti utenti infatti sono stati rubati dati sensibili e di conseguenza gli sono stati provocati grossi fastidi e problemi da risolvere. Ma come si chiama questo tipo di malware e che ruolo ha avuto, o meglio, in che modo esattamente avveniva il furto dei dati? Inoltre è importante sapere come proteggersi da eventuali altri attacchi che potrebbero essere in agguato.
MiniNerbian, il malware scoperto: ecco come agiva
Si chiama NerbianRat ed è la variante Linux di un trojan per l’accesso remoto. MiniNerbian è la sua variante più piccola sfruttata dal gruppo Magnet Goblin che ha portato avanti degli attacchi per ben 2 anni. Con MiniNerbian sono stati installati blackdoor nei server del servizio di e-commerce Magento e da lì sono stati usati come server di controllo e di comando. A questi sono stati connessi i dispositivi infettati con NerbianRat.
Il funzionamento del malware avviene in questo modo: raccoglie le informazioni basilari, subito dopo genera un ID bot e carica gli indirizzi IP hardcoded in fase di inizializzazione. Poi attraverso un file crittografato carica la sua configurazione e da lì parte una comunicazione con il server C2. La variante Linux di NerbianRat utilizza socket TCP e così invia i dati criptati AES al server.
Basandosi sui comandi ricevuti dal server C2 il malware è in grado di eseguire i comandi Linux così come di aggiornare la configurazione e di effettuare altre operazioni. MiniNerbian condivide non NerbianRat gran parte del codice sorgente ma poi riesce a fare solo alcune cose: può eseguire dei comandi, aggiornare la flag temporale e aggiornare la configurazione del blockdoor. Adottando la vulnerabilità 1 – day è stato distribuito il malware e ha avuto la possibilità di agire praticamente indisturbato per un tempo molto lungo.
Il malware è compilato in modo approssimativo e con informazioni di debug DWARF che consentono ai ricercatori di poter visualizzare i nomi delle variabili globali e delle funzioni. I ricercatori hanno riscontrato la presenza di NerbianRat su server compromessi che erano sotto il controllo di Magnet Goblin. Risulta che questo gruppo abbia prodotto anche un malware che ruba le credenziali VPN e che si chiama WarpWire.
