Sommario
Ricercatori di sicurezza informatica hanno scoperto un nuovo malware per Linux denominato sedexp, che utilizza tecniche insolite per mantenere la persistenza nei sistemi infetti e nascondere il codice di skimming delle carte di credito. Attribuito a un attore di minacce finanziarie, sedexp dimostra l’evoluzione della sofisticazione delle tattiche dei criminali informatici oltre il ransomware.
Tecnica di persistenza tramite Regole Udev
Sedexp si distingue per l’uso delle regole udev per mantenere la persistenza. Udev è un sistema di gestione dei dispositivi per il kernel Linux, responsabile della creazione dinamica o rimozione dei file dei nodi dei dispositivi e della gestione degli eventi di hotplug per configurare nuovi dispositivi. Le regole udev sono file di configurazione utilizzati per abbinare i dispositivi e eseguire azioni in risposta a eventi come l’aggiunta o la rimozione di dispositivi.
Nel caso di sedexp, una regola udev specifica viene creata per eseguire il malware ogni volta che un dispositivo specifico viene aggiunto al sistema. Questa regola è configurata in modo tale che il malware venga eseguito ogni volta che /dev/random viene caricato, il che avviene tipicamente ad ogni riavvio del sistema. Questa tecnica rende il malware particolarmente furtivo e difficile da rilevare.
Capacità del Malware Sedexp
Il malware sedexp possiede diverse caratteristiche notevoli:
- Capacità di Shell Inversa: Include una shell inversa, che consente all’attore delle minacce di mantenere il controllo del sistema compromesso.
- Modifica della Memoria per la Stealth: Modifica la memoria per nascondere qualsiasi file contenente la stringa “sedexp” dai comandi come
lsofind. Questa capacità è stata utilizzata per nascondere web shell, file di configurazione Apache modificati e la regola udev stessa.
Uso del Malware per lo Skimming delle Carte di Credito
Durante le indagini, si è scoperto che sedexp è stato utilizzato per nascondere codice di scraping delle carte di credito su un server web, indicando un chiaro focus sul guadagno finanziario. Questa scoperta dimostra come gli attori delle minacce stiano utilizzando tecniche di persistenza raramente utilizzate come le regole udev per nascondere le loro attività dannose.
Analisi Tecnica di Sedexp
L’analisi tecnica di sedexp ha rivelato diverse azioni chiave che il malware compie per garantire la sua persistenza e stealth:
- Allocazione della Memoria e Gestione degli Argomenti: Il malware manipola gli argomenti per offuscare la sua presenza e cambia il nome del processo in kdevtmpfs per mimetizzarsi con i processi di sistema legittimi.
- Impostazione della Persistenza: Sedexp si copia in una posizione specifica e crea una regola udev per garantire che venga eseguito all’avvio del sistema.
- Esecuzione di Shell Inversa: A seconda dell’input, può impostare una shell inversa utilizzando diverse tecniche per mantenere l’accesso remoto.
La scoperta di sedexp evidenzia la crescente sofisticazione degli attori delle minacce finanziarie, che vanno oltre il ransomware e sfruttano tecniche di persistenza raramente utilizzate come le regole udev. È essenziale che le organizzazioni aggiornino continuamente le loro capacità di rilevamento e implementino misure di sicurezza complete per mitigare tali minacce.
