È stato osservato un nuovo malware Linux sviluppato utilizzando il compilatore di script di shell (shc) che distribuisce un miner di criptovalute sui sistemi compromessi. “Si presume che dopo un’autenticazione riuscita tramite un attacco a dizionario su server SSH Linux non adeguatamente gestiti, vari malware siano stati installati sul sistema di destinazione”, ha dichiarato l’AhnLab Security Emergency Response Center (ASEC) in un rapporto pubblicato oggi. shc consente di convertire gli script di shell direttamente in file binari, offrendo protezione contro le modifiche non autorizzate del codice sorgente. È analogo all’utilità BAT2EXE di Windows, utilizzata per convertire qualsiasi file batch in un file eseguibile. Utilizzando shc per generare file ELF, l’idea è di proteggere i comandi di shell dannosi dall’ispezione e potenzialmente di aggirare il rilevamento da parte del software di sicurezza, poiché gli eseguibili sono codificati con l’algoritmo RC4.
In una catena di attacchi dettagliata dalla società di cybersicurezza sudcoreana, una compromissione riuscita del server SSH porta alla distribuzione di un malware shc downloader insieme a un bot IRC DDoS basato su Perl. Il downloader shc procede successivamente a recuperare il software miner XMRig per estrarre criptovaluta, mentre il bot IRC è in grado di stabilire connessioni con un server remoto per ottenere comandi per l’esecuzione di attacchi DDoS (distributed denial-of-service). “Questo bot supporta non solo attacchi DDoS come TCP flood, UDP flood e HTTP flood, ma anche diverse altre funzionalità tra cui l’esecuzione di comandi, la reverse shell, la scansione delle porte e l’eliminazione dei registri”, hanno dichiarato i ricercatori ASEC. Il fatto che tutti gli artefatti del downloader shc siano stati caricati su VirusTotal dalla Corea del Sud suggerisce che la campagna si concentra principalmente sui server SSH Linux poco protetti del Paese. Si raccomanda agli utenti di seguire l’igiene delle password e di ruotarle periodicamente per evitare tentativi di forza bruta e attacchi a dizionario. Si consiglia inoltre di mantenere aggiornati i sistemi operativi.
