Stantinko, una delle più vecchie botnet ancora operative, ha deciso di rinnovarsi un’ulteriore volta, al fine di diventare ancora più difficile da identificare.

Rilevata la prima volta nel 2012, inizialmente era distribuita come trojan all’interno di pacchetti di applicazioni o “colata” all’interno di applicazioni piratate. Ai tempi ci interessava poco, colpendo solo sistemi Windows e mostrando pubblicità non richieste o installando dei crypto-miner.

Continuando ad espandersi sempre più, ed a genere quindi più guadagni per chi l’ha scritta e distribuita, più risorse sono state investite nel suo sviluppo e, nel 2017, l’azienda di sicurezza slovacca ESET ha rilasciato un report in PDF in cui rilevava che gli sviluppatori della botnet avevano rilasciato una speciale versione dello stesso malware per i sistemi Linux.

Questi sistemi Linux infettati si sono trovati a funzionare come proxy SOCKS5, andando così a formare una grande rete di proxy utilizzata per lanciare attacchi di tipo brute-force contro vari CMS (Content Management System) e diversi sistemi web. Una volta compromessi questi sistemi, il malware elevava i suoi privilegi (sia su Linux che su Windows) ed installava una copia di se stesso ed un crypto-miner, così da iniziare a generare ancora più guadagni.

Tutto questo nella versione 1.2 del 2017, ma le cose sembrano essere andate avanti.

In un report rilasciato in questi giorni da Intezer è saltato nuovamente fuori Stantinko, con la versione 2.17, decisamente avanti rispetto a quella rilevata oramai 3 anni fa e, nonostante in genere i malware tendano a diventare sempre più grossi e pesanti nel tempo, questo sembra essere molto più snello e con meno funzionalità del precedente, cosa che lo aiuta particolarmente a passare inosservato alle scansioni antivirus.

Inoltre, questa nuova versione si presenta sul sistema con un nuovo nome: httpd. Già proprio lo stesso che il famoso webserver Apache usa, e la scelta è stata proprio per la sua diffusione ed il fatto che in diverse distribuzioni (o comunque su diversi sistemi in cui la botnet gira) viene installato di default.

Ovviamente, considerando il veicolo di attacco e l’attuale difficoltà dei prodotti antivirus a rilevarlo, l’unico consiglio che possiamo dare è di utilizzare password sicure, sia per quanto riguarda i prodotti web che utilizzate o erogate, sia per gli utenti del vostro sistema. Ed installate software solo da fonti sicure!

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.