Nuovo malware per Linux e Windows: ACBackdoor

Marco Bonfiglio
2

Il panorama di malware (talvolta tradotto con “programmi malevoli”) è molto ampio, e per esempio comprende:

  • Raccolta dati personali e/o finanziari, come le carte di credito;
  • Cryptolocker, ovvero criptazione dei file al fine di chiedere un riscatto;
  • Attivazione webcam e/o microfono, per spiare e/o ricattare;
  • Virus che distruggo dati, o interi sistemi;

Il tutto sempre, ovviamente, all’insaputa dell’utente del PC.

Per questo è raro imbattersi in un malware che lavori (quasi) allo stesso modo in Windows e in Linux: il Kernel è diverso, i permessi necessari sono diversi, i modi di installarsi sono diversi… perfino i formati dei binari sono diversi!

La scorsa settimana Intezer ha pubblicato un’analisi di un nuovo malware, battezzato ACBackdoor, che ha due caratteristiche molto particolari:

  1. Prende di mira sia sistemi Windows che sistemi Linux;
  2. (quasi) Nessun sistema di protezione è in grado di rilevarlo.

La capacità del malware, come suggerisce il nome, è quella di aprire un accesso tale da mettere a disposizione di un attaccante qualsiasi comando, o caricare ed eseguire qualsiasi programma.

Il malware, una volta infiltrato su un PC:

  1. Si registra come servizio da avviare al boot;
  2. Nasconde il nome con uno che sembri un servizio di sistema;
  3. Contatta un servizio web (il centro di controllo dell’attaccante) usando le informazioni specifiche del pc (tipo di sistema, MAC della scheda di rete…), come fosse una registrazione;
  4. Controlla ogni tanto il servizio web per sapere se ci sono comandi da eseguire.

Come vedete dall’elenco è richiesto un accesso privilegiato per buona parte delle operazioni. Cosa che su Windows ottiene grazie ad alcune falle, in particolare di Flash (manco fosse una novità), mentre su Linux non è ancora chiaro.

L’analisi pone l’accento su come il malware sembri nato per Linux, e solo dopo adattato per l’ambiente Windows: anche questa è una rarità. Ed una fortuna: la relativa inesperienza del programmatore su Windows rende meno efficace l’attacco in questo ambiente.

Se i programmi antivirus non riescono a identificarlo, come difendersi?
Semplicemente come al solito:

  • Non aprire file sospetti;
  • Usare il meno possibile le utenze privilegiate;
  • Aggiornare-aggiornare-aggiornare.

L’ultimo punto è sempre importante. Per esempio, le falle usate su Windows sono state chiuse da circa un anno.

Marco Bonfiglio

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.

, ,

2 risposte a “Nuovo malware per Linux e Windows: ACBackdoor”

  1. Avatar Maurizio Poli
    Maurizio Poli

    Ogni volta che leggo questi articoli mi monta una rabbia legata all’impotenza di non poter far qualcosa di utile. Detto ciò , sarebbe stato carino inserire qualche immagine di come si presenta l’allegato e la mail che gira per la rete. Giusto per avere sott’occhio il layout generale..

  2. Avatar Marco Bonfiglio
    Marco Bonfiglio

    Le raccomandazioni sono solo “comportamento sano”, e in quanto tali sono generiche.
    In questo caso particolare, le falle usate sono relative a Flash: il modo tipico di innescarle è tramite la pubblicità che “coprono” i comandi malevoli. Questa tecnica è definita malvertising, nome derivato da advertising, analogamente a come malware è derivato da software.
    In questo scenario gli adblocker, le estensioni dei browser che bloccano la pubblicità molesta, sono una possibile linea di difesa. Da ricordarsi che è comunque imperfetta.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2904) Saturday's Talks (46)

Tag cloud

ai (42) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (66) Google (85) IBM (49) Intel (54) KDE (35) Kernel (218) Kubernetes (88) Linux (672) LinuxFoundation (31) LTS (32) Malware (53) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (322) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (45) RHEL (36) SaturdaysTalks (45) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (78) Ubuntu (167) Vulnerabilità (54) Windows (80)