Gli esperti dell'azienda giapponese Trend Micro, specializzata in questioni di sicurezza informatica, hanno scoperto il programma dannoso SprySOCKS, che viene utilizzato per attaccare i computer che eseguono i sistemi della famiglia Linux.
Il nuovo malware proviene dalla backdoor di Windows Trochilus, scoperto Nel 2015 dai ricercatori della società Arbor Networks, viene lanciato ed eseguito solo in memoria e il suo carico utile non è archiviato su dischi, il che complica notevolmente il rilevamento. Nel giugno di quest’anno, i ricercatori di Trend Micro hanno scoperto un file denominato “libmonitor.so.2” su un server utilizzato da un gruppo di cui monitoravano l’attività dal 2021. Nel database VirusTotal, hanno scoperto il file eseguibile associato “mkmon”, che ha aiutato a decrittografare “libmonitor.so.2” e rivelarne il carico utile.
Si è scoperto che si tratta di un programma dannoso complesso per Linux, la cui funzionalità coincide parzialmente con le capacità di Trochilus e ha un'implementazione originale del protocollo Socket Secure (SOCKS), quindi al malware è stato dato il nome SprySOCKS. Permette di raccogliere informazioni sul sistema, avviare un'interfaccia di comando di gestione remota (shell), creare un elenco di connessioni di rete, implementare un server proxy basato sul protocollo SOCKS per scambiare dati tra il sistema compromesso e il server di comando dell'aggressore e eseguire altre operazioni. Specificare le versioni del malware suggerisce che è ancora in fase di sviluppo.
I ricercatori suggeriscono che SprySOCKS venga utilizzato dagli hacker del gruppo Earth Lusca: è stato scoperto per la prima volta nel 2021 ed è apparso nell'elenco dei criminali informatici un anno dopo. Il gruppo utilizza metodi di ingegneria sociale per infettare i sistemi. SprySOCKS installa i pacchetti Cobalt Strike e Winnti come payload. Il primo è un kit per trovare e sfruttare le vulnerabilità; il secondo, che ha più di dieci anni, contatta le autorità cinesi. Esiste una versione secondo cui il gruppo Earth Lusca, che lavora principalmente con obiettivi asiatici, mira a sottrarre fondi, perché le sue vittime sono spesso aziende coinvolte nel gioco d'azzardo e nelle criptovalute.
Leggi anche:
- Microsoft è stato accusato di "flagrante negligenza" nei confronti della sicurezza informatica
- Gli hacker hanno disabilitato uno degli osservatori astronomici più moderni