I ricercatori della società di sicurezza informatica ESET, come indicato dai colleghi di Bleeping Computer, hanno scoperto l’esistenza di un malware, chiamato Kobalos, che ruba le credenziali per le connessioni di rete sicure utilizzando una versione trojan del software OpenSSH. Una caratteristica peculiare di questo software è da ricercare nella sua base di codice estremamente ridotta ma che può essere eseguita non solo su Linux, ma anche su altre piattaforma Unix, come Solaris e FreeBSD, r non è escluso che possano esistere varanti per i sistemi operativi AIX e Windows.
Tuttavia, le persone “comuni” non dovrebbero temere Kobalos, in quanto sembra che i suoi obiettivi siano principalmente computer e server ad alte prestazioni presenti in rete accademiche e/o destinate alla ricerca. Infatti, la presenza di Kobalos è stata confermata nei sistemi di un produttore di software nordamericano, un grande ISP in Asia, oltre a diversi hosting provider. I ricercatori non sono stati in grado di stabilire quale sia stato il vettore di attacco iniziale, ma va tenuto in considerazione che alcuni sistemi compromessi erano dotati di sistemi operativi e software non aggiornati, quindi è molto probabile che siano state utilizzate vulnerabilità note. Nonostante sia leggero, solo 24KB, Kobalos è un malware complesso con tecniche personalizzate di offuscamento anti-forense che ne ostacolano l'analisi.
Una volta presente sul computer, Kobalos fornisce un accesso remoto al file system e può generare sessioni di terminale, il che consente ad eventuali malintenzionati di eseguire liberamente qualsiasi comando. Il furto di credenziali potrebbe spiegare il modo con cui il malware riesce a diffondersi all’interno degli altri sistemi della stessa rete, dato che gli studenti o gli impiegati potrebbero avere un accesso SSH ai cluster di supercomputer.
ESET si è impegnata ad aiutare tutte le vittime sino ad ora identificate per liberare i propri sistemi dell’infezione di Kobalos e ha pubblicato un’analisi tecnica completa, così da fornire indicatori di rischio che le compagnie possono utilizzare per verificare la presenza o meno del malware sui propri computer.
Se avete timore che il vostro PC Windows venga infettato, proteggetevi con AVG Internet Security 2020: la licenza di un anno per un PC è in offerta su Amazon a circa 23 euro.