Linux, individuata una nuova pericolosa backdoor

Una nuova e pericolosa backdoor, Facefish, è stata recentemente analizzata dal team Qihoo 360 NETLAB.

Avatar di Antonello Buzzi

a cura di Antonello Buzzi

Editor

Nonostante Linux, almeno in ambito desktop, sia utilizzato ancora da una fetta piuttosto limitata di utenti, la sua popolarità continua ad aumentare non solo grazie a distribuzioni sempre più user friendly e in grado di offrire un’esperienza d’uso molto buona anche a chi è abituato al ben più diffuso sistema operativo Windows di casa Microsoft, ma anche, e soprattutto, al suo impiego come base per altri OS, come Android.

Questo ha catturato l’interesse di diversi gruppi di hacker, che, di conseguenza, hanno iniziato a studiare nuove opportunità per intrufolarsi all’interno dei sistemi. In particolare, recentemente è stata scoperta una nuova backdoor, ribattezzata Facefish, che permette ad eventuali malintenzionato di rubare informazioni sul dispositivo ed eventuali credenziali di accesso, eseguire comandi arbitrari e lanciare shell Linux sui terminali infetti. Come riportato da Cyware, Facefish è stato analizzato dal team Qihoo 360 NETLAB, il quale ha scoperto che la backdoor è indirizzata principalmente ai sistemi Linux x64 ed è in grado di avviare più rootkit in momenti diversi, utilizzato l’algoritmo Blowfish per le comunicazioni C2.

Non è la prima volta che si parla di Facefish, dato che già in precedenza Juniper Networks aveva individuato una serie di attacchi a Control Web Panel (CWP) per acquisire dati sensibili dai sistemi infettati. Il codice sorgente di CWP è apparentemente crittografato e offuscato e questo rende difficile identificare quale versione sia vulnerabile al malware. I ricercatori sospettano che l'accesso alle macchine compromesse possa essere venduto per rendere le macchine parte di una botnet. Infatti, Facefish raccoglie informazioni dettagliate sul sistema, propagandosi ulteriormente all’interno della rete senza avviare software malevoli immediatamente.

Facefish non è certo l’unica minaccia che gli utilizzatori del sistema operativo open source per eccellenza hanno dovuto fronteggiare ultimamente. Infatti, recentemente è stata scoperta la botnet di cryptojacking Syssrv-hello che effettuava costantemente scansioni di server aziendali Windows e Linux per infettarli allo scopo di effettuare il mining di Monero.

Alla ricerca di un nuovo PSU per alimentare la vostra prossima GPU? Corsair RM750X, alimentatore modulare da 750W, è disponibile su Amazon.