Due nuove minacce malware significative sono state scoperte: un worm Linux precedentemente sconosciuto e la botnet NoaBot basata su Mirai. Questo articolo esamina queste minacce, le loro modalità operative e le misure di sicurezza consigliate.
Worm Linux Non Rilevato per un Anno
Un worm Linux, non rilevato per un anno, ha colpito dispositivi in tutto il mondo, installando malware per il mining di criptovalute. Questo worm è una versione personalizzata di Mirai, un malware noto per infettare server Linux, router, webcam e altri dispositivi IoT. A differenza delle varianti tradizionali di Mirai, che si diffondono tramite Telnet, questo worm sfrutta password SSH deboli. Una volta infettato un dispositivo, installa un software di mining di criptovalute, una versione modificata di XMRig, che utilizza risorse informatiche, elettricità e banda delle vittime per generare monete digitali. Questa attività è stata monitorata per 12 mesi tramite un honeypot che imita i dispositivi Linux reali.
NoaBot: Botnet basata su Mirai
NoaBot, una botnet basata su Mirai, è stata utilizzata dagli attori delle minacce per una campagna di mining di criptovalute dall’inizio del 2023. NoaBot si distingue per la sua capacità di auto-replicarsi e per l’uso di una backdoor chiave SSH per scaricare ed eseguire binari aggiuntivi o diffondersi a nuove vittime. NoaBot utilizza un modulo di diffusione che sfrutta uno scanner SSH per cercare server suscettibili a attacchi di tipo “dictionary attack” per forzarne l’accesso e aggiungere una chiave pubblica SSH nel file [.ssh/authorized_keys] per l’accesso remoto. Inoltre, NoaBot incorpora tattiche di offuscamento per rendere difficile l’analisi e, infine, porta al dispiegamento di una versione modificata del miner XMRig.
Misure di Sicurezza Consigliate
Per proteggersi da queste minacce, è fondamentale limitare l’accesso SSH arbitrario da Internet alla propria rete e utilizzare password forti, non predefinite o facilmente indovinabili. Queste misure riducono significativamente il rischio di infezione in un momento di esplosione dei malware Linux.