Un nuovo pericoloso malware, noto come DinodasRAT, ha messo nel mirino i server Linux in una sofisticata campagna di spionaggio. Secondo i ricercatori della società di sicurezza informatica ESET, questa minaccia informatica ha preso di mira i sistemi operativi Red Hat e Ubuntu, e potrebbe essere attiva sin dal 2022.
Ciò che rende questo attacco ancora più preoccupante è che la variante Linux del malware non è stata ancora descritta pubblicamente, sebbene la sua prima versione sia stata rintracciata già nel 2021. Questo lascia intendere che il malware potrebbe essere stato ulteriormente sviluppato e potenziato nel corso del tempo.
La società di sicurezza informatica ESET ha precedentemente osservato DinodasRAT compromettere sistemi Windows in una campagna di spionaggio nota come 'Operazione Jacana', che ha preso di mira numerosi enti governativi.
Secondo un recente rapporto svolto dalla società Kaspersky, quando il malware DinodasRAT viene eseguito su un sistema Linux, crea un file nascosto nella directory in cui risiede il suo binary, agendo come mutex per impedire l'esecuzione di più istanze sullo stesso dispositivo infetto.
Successivamente, il malware stabilisce la persistenza sul computer utilizzando script di avvio SystemV o SystemD, rendendo difficile la sua individuazione.
Una volta infettato un sistema, il malware raccoglie dettagli sull'hardware, e sul sistema, e invia un rapporto al server di comando e controllo (C2) per gestire gli host vittime.
La comunicazione con il server C2 avviene tramite TCP o UDP, mentre il malware utilizza l'algoritmo di crittografia Tiny Encryption Algorithm (TEA) in modalità CBC per garantire uno scambio di dati sicuro.
Le capacità del DinodasRAT includono il monitoraggio delle attività dell'utente, la ricezione di comandi dal C2 per eseguire azioni su file e directory, l'avvio e l'arresto di processi e servizi sul sistema infetto, oltre alla possibilità di offrire una shell remota per l'esecuzione diretta di comandi o di file.
Il malware è in grado anche di scaricare nuove versioni di sé stesso e di disinstallarsi per eliminare tutte le tracce della sua attività precedente dal sistema.
Secondo Kaspersky, DinodasRAT dà il completo controllo sui sistemi compromessi, consentendo l'estrazione e lo spionaggio dei dati. Mentre non è stato fornito alcun dettaglio sul metodo di infezione iniziale, il malware ha colpito in Cina, Taiwan, Turchia e Uzbekistan a partire dall'ottobre 2023.
Questo sottolinea l'importanza di adottare misure di sicurezza rigorose per proteggere i server Linux da questa minaccia sempre più diffusa e sofisticata.