Avviso Linux: il malware TrickBot ora sta infettando i tuoi sistemi

Avviso Linux: il malware TrickBot ora sta infettando i tuoi sistemi

La piattaforma malware Anchor di TrickBot è stata trasferita per infettare i dispositivi Linux e compromettere ulteriori target ad alto impatto e valore utilizzando canali nascosti.

TrickBot è una piattaforma malware Windows multiuso che utilizza diversi moduli per eseguire varie attività dannose, tra cui il furto di informazioni, il furto di password, l'infiltrazione di domini Windows e la consegna di malware.

TrickBot è noleggiato da hacker che lo usano per infiltrarsi in una rete e raccogliere qualsiasi cosa di valore. Viene quindi utilizzato per distribuire ransomware come Ryuk e Conti per crittografare i dispositivi della rete come attacco finale.

Alla fine del 2019, sia SentinelOne che NTT hanno riportato un nuovo framework TrickBot chiamato Anchor che utilizza DNS per comunicare con i propri server di comando e controllo.

Denominato Anchor_DNS, il malware viene utilizzato su target di alto valore e impatto con preziose informazioni finanziarie.

Oltre alle distribuzioni di ransomware tramite infezioni da Anchor, gli attori di TrickBot Anchor lo usano anche come backdoor in campagne simili a APT destinate a sistemi di punti vendita e finanziari.

Il malware backdoor Anchor di TrickBot è portato su Linux

Storicamente, Anchor è stato un malware per Windows. Recentemente è stato scoperto un nuovo campione dal ricercatore di  sicurezza Stage 2 Waylon Grange che mostra che Anchor_DNS è stato portato su una nuova versione backdoor di Linux chiamata "Anchor_Linux".

Il ricercatore di Advance Intelligence Vitali Kremez ha analizzato un campione del nuovo malware Anchor_Linux trovato da Intezer Labs.

Kremez ha detto che, una volta installato, Anchor_Linux si configurerà per funzionare ogni minuto usando la seguente voce crontab:

*/1 * * * * root [filename]

Oltre a fungere da backdoor che può far cadere malware sul dispositivo Linux ed eseguirlo, il malware contiene anche un eseguibile Windows TrickBot incorporato.

Secondo Intezer, questo binario incorporato è un nuovo malware TrickBot leggero "con connessioni di codice a strumenti TrickBot meno recenti" e viene utilizzato per infettare i computer Windows sulla stessa rete.

Per infettare i dispositivi Windows, Anchor_Linux copierà il malware TrickBot incorporato negli host Windows sulla stessa rete usando SMB e $ IPC.

Se copiato correttamente su un dispositivo Windows, Anchor_Linux lo configurerà come un servizio Windows utilizzando il protocollo Remote di Service Control Manager  e  SMCC SVBTL denominato pipe.

Quando il servizio è configurato, il malware viene avviato sull'host Windows, ricollegandosi al server di comando e controllo per l'esecuzione dei comandi.

Questa versione di Linux consente agli attori delle minacce di colpire ambienti non Windows con una backdoor che consente agli aggressori di ruotare di nascosto sui dispositivi Windows sulla stessa rete.

"Il malware funge da strumento di persistenza backdoor nascosto nell'ambiente UNIX utilizzato come perno per lo sfruttamento di Windows e utilizzato come vettore di attacco iniziale non ortodosso al di fuori del phishing della posta elettronica. Consente al gruppo di indirizzare e infettare i server in ambiente UNIX (come i router ) e utilizzarlo per eseguire il pivot sulle reti aziendali", ha detto Kremez a BleepingComputer in una conversazione sul malware.

Ancora peggio, molti dispositivi IoT come router, dispositivi VPN e dispositivi NAS funzionano su sistemi operativi Linux, che potrebbero essere potenzialmente una destinazione per Anchor_Linux.

Con questa evoluzione del malware TrickBot, è sempre più importante per i sistemi Linux e i dispositivi IoT avere una protezione e un monitoraggio adeguati per rilevare minacce come Anchor_Linux

Per gli utenti Linux interessati, potrebbero essere infetti, Anchor_Linux creerà un file di registro all'indirizzo /tmp/anchor.logSe questo file esiste, è necessario eseguire un controllo completo del sistema per la presenza del malware Anchor_Linux.

Kremez ha detto che crede che Anchor_Linux sia ancora in fase di sviluppo a causa del test delle funzionalità nell'eseguibile di Linux.

Si prevede che TrickBot continuerà il suo sviluppo per renderlo un'aggiunta completa al suo framework di ancoraggio.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.