SprySOCKS, un malware Linux di origine cinese che discende da una backdoor Windows

Raoul Scarazzini
0

Non sono passati che pochi giorni da quando abbiamo raccontato del malware scoperto da Kaspersky ed associato ai download del sito Free Download Manager che siamo di nuovo a parlare di sicurezza su Linux, e nello specifico di un malware battezzato SprySOCKS.

Come racconta ArsTechnica, SprySOCKS ha un’origine curiosa, provenendo da una backdoor Windows denominata Trochilus, scoperta per la prima volta nel 2015 da ricercatori di Arbor Networks (che oggi si chiama Netscout). Trochilus aveva la particolarità di essere eseguito esclusivamente in memoria, rendendo la sua rilevazione particolarmente difficile poiché sui dischi ne rimanevano pochissime tracce.

Trochilus era stato sviluppato da APT10, un gruppo dedicato a questo genere di operazioni legato al governo cinese, noto anche come Stone Panda e MenuPass.

Nel corso degli anni, il codice sorgente di Trochilus è diventato disponibile su GitHub, aprendo la strada del suo utilizzo a diverse altre organizzazioni e gruppi di quelli che vanno definiti cracker.

Fin qui la storia della backdoor originale, che come scritto era stato pensato per Windows. Il suo adattamento per il sistema operativo Linux è l’incarnazione appena scoperta, battezzata appunto “SprySOCKS” da Trend Micro, in riferimento alla sua agilità e alla nuova implementazione del protocollo SOCKS.

Questa backdoor è in grado di raccogliere informazioni di sistema, aprire shell remote interattive per il controllo dei sistemi compromessi, elencare le connessioni di rete e creare un proxy basati sul protocollo SOCKS per il trasferimento di file e dati tra il sistema compromesso e il server di comando controllato dall’attaccante.

La parte tediosa, poco interessante e ripetitiva è però sempre racchiusa nel veicolo d’attacco, infatti sebbene SprySOCKS per la sua natura abbia delle componenti inedite, la sua diffusione è perpetrata mediante social engineering, con utenti ingannati nello scaricare software dai siti compromessi.

Ovviamente anche in questa vicenda la conclusione per molti potrebbe essere “se uno se la va a cercare, fatti suoi”, ma il problema è che a rimetterci in queste infezioni globali sono anche gli utenti virtuosi, che trovano reti rallentate, si vedono attaccati dalle botnet ed in generale vivono in un mondo insicuro.

Pertanto, come sempre, prudenza.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, , , , ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2909) Saturday's Talks (46)

Tag cloud

ai (43) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (67) Google (85) IBM (49) Intel (54) KDE (35) Kernel (219) Kubernetes (89) Linux (673) LinuxFoundation (31) LTS (32) Malware (54) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (323) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (46) RHEL (37) SaturdaysTalks (45) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (79) Ubuntu (167) Vulnerabilità (55) Windows (80)