Attualità

Attenzione a questo malware, agisce indisturbato da due anni: come riconoscerlo e come proteggersi

C’è un malware pericoloso a cui bisogna fare attenzione: da due anni è presente e crea danni. Ecco come individuarlo. 

Sono già due anni che agisce in modo quasi del tutto indisturbato e ha provocato vari problemi, anche molto seri, a tanti utenti. Si tratta di un malware che è stato scoperto adesso. Sono stati i ricercatori di Checkpoint ad averlo individuato e a scoprire che ha agito per molto tempo su Linux. 

Il malware e il furto di dati – gallurainformazione.it

Il malware ha installato backdoor sui sistemi favorendo così il furto di dati. A molti utenti infatti sono stati rubati dati sensibili e di conseguenza gli sono stati provocati grossi fastidi e problemi da risolvere. Ma come si chiama questo tipo di malware e che ruolo ha avuto, o meglio, in che modo esattamente avveniva il furto dei dati? Inoltre è importante sapere come proteggersi da eventuali altri attacchi che potrebbero essere in agguato.

MiniNerbian, il malware scoperto: ecco come agiva

Si chiama NerbianRat ed è la variante Linux di un trojan per l’accesso remoto. MiniNerbian è la sua variante più piccola sfruttata dal gruppo Magnet Goblin che ha portato avanti degli attacchi per ben 2 anni. Con MiniNerbian sono stati installati blackdoor nei server del servizio di e-commerce Magento e da lì sono stati usati come server di controllo e di comando. A questi sono stati connessi i dispositivi infettati con NerbianRat.

Dopo due anni scoperto il malware che rubava dati – gallurainformazione. it

Il funzionamento del malware avviene in questo modo: raccoglie le informazioni basilari, subito dopo genera un ID bot e carica gli indirizzi IP hardcoded in fase di inizializzazione. Poi attraverso un file crittografato carica la sua configurazione e da lì parte una comunicazione con il server C2. La variante Linux di NerbianRat utilizza socket TCP e così invia i dati criptati AES al server.

Basandosi sui comandi ricevuti dal server C2 il malware è in grado di eseguire i comandi Linux così come di aggiornare la configurazione e di effettuare altre operazioni. MiniNerbian condivide non NerbianRat gran parte del codice sorgente ma poi riesce a fare solo alcune cose: può eseguire dei comandi, aggiornare la flag temporale e aggiornare la configurazione del blockdoor. Adottando la vulnerabilità 1 – day è stato distribuito il malware e ha avuto la possibilità di agire praticamente indisturbato per un tempo molto lungo.

Il malware è compilato in modo approssimativo e con informazioni di debug DWARF che consentono ai ricercatori di poter visualizzare i nomi delle variabili globali e delle funzioni. I ricercatori hanno riscontrato la presenza di NerbianRat su server compromessi che erano sotto il controllo di Magnet Goblin. Risulta che questo gruppo abbia prodotto anche un malware che ruba le credenziali VPN e che si chiama WarpWire. 

Romana Cordova

Recent Posts

Quiz da Don Giovanni: la risposta non è così semplice come potete immaginare

La risposta giusta al quiz sul Don Giovanni non sarà affatto semplice da trovare. Personaggio…

7 mesi ago

Avanti un Altro, stop al game show: cambia la programmazione, non era mai accaduto

Avanti un altro, il game show di casa Mediaset si ferma. La programmazione ordinaria è…

7 mesi ago

Inter, Marotta spaventa i tifosi: già deciso il futuro di Inzaghi

L'Inter è già proiettata nel futuro, nonostante i festeggiamenti per lo scudetto: queste le frasi…

7 mesi ago

Annalisa Minetti, dramma senza fine: il destino crudele che la accomuna alla sorella

La cantautrice ospite a Verissimo si è lasciata andare a una lunga confessione. In studio…

7 mesi ago

Il Principe torna nel Regno: dove vivrà Harry di ritorno in patria?

Dove alloggerà il Principe Harry durante il suo prossimo soggiorno nel Regno Unito? Ecco svelati…

7 mesi ago

È più forte di loro: questi segni zodiacali non fanno altro che ‘adulare’ al lavoro

Scopri quali sono i segni zodiacali che al lavoro tendono ad adulare piuttosto che a…

7 mesi ago