Botnet Linux sfrutta Log4j per rubare informazioni agli utenti: ecco come funziona il malware

Botnet Linux sfrutta Log4j per rubare informazioni agli utenti: ecco come funziona il malware

Un nuovo malware prende di mira sistemi Linux per allestire una botnet con capacità di furto d'informazioni, instradamento di traffico ed esecuzione di comandi. Sfruttata la vulnerabilità Log4j

di pubblicata il , alle 11:31 nel canale Sicurezza
 

I ricercatori del Network Security Research Lab di Qihoo 360 hanno recentemente scoperto una nuova botnet che prende di mira i sistemi Linux, cercando di comprometterli per "assoldarli" allo scopo di allestire un esercito di sistemi per il furto di informazioni, l'installazione di rootkit, re-instradare traffico web e l'esecuzione di comandi da remoto.

La botnet viene creata tramite il malware battezzato B1txor20 e si rivolge in particolare a disposititi con architettura ARM e X64 basati su sistemi operativi Linux. Il malware sfrutta la famigerata vulnerabilità Log4j per compromettere le nuove macchine. B1txor20 è stato individuato per la prima volta lo scorso 9 febbraio.

I ricercatori sono riusciti a isolare quattro campioni di malware con funzionalità backdoor, proxy SOCKS5, download di altri malware, sottrazione di dati, esecuzione di comanti e installazione di rootkit.

B1txor20 però si contraddistingue da altri malware simili per l'uso della pratica di tunneling DNS per instaurare la comunicazione con il server di comando e controllo. Si tratta di una tecnica piuttosto vecchia, che però si dimostra ancora affidabile e permentte di eseguire tunneling di malware e dati mediante query DNS.

"Il bot invia le informazioni sensibili rubate, i risultati dell'esecuzione di comandi e qualsiasi altra informazione che deve essere recapitata dopo averla nascosta utilizzando tecniche di codifica specifiche al server di comando e controllo come richiesta DNS. Dopo aver ricevuto la richiesta, il server invia il payload al bot in risposta alla richiesta DNS. In questo modo bot e il server instaurano la comunicazione grazie al protocollo DNS" spiegano i ricercatori di NetLab 360.

Il malware B1txor20 risulta in fase di sviluppo attivo: i ricercatori hanno infatti riscontrato la presenza di una serie di funzionalità non ancora attive, il che può significare che gli sviluppatori che lo hanno realizzato stiano ancora lavorando per migliorarle e renderle disponibili in futuro.

I migliori sconti su Amazon oggi
-15%

AMAZFIT Active 2 Smart Watch 44mm, Pagamento NFC, AI, Controllo Vocale, GPS e Mappe Gratuite, Batteria da 10 Giorni, 160+ Modalità Sportive, Resistente all'Acqua 5 ATM per Android e iPhone

129.90 110.00 Compra ora
-17%

Samsung Galaxy S25 Ultra Smartphone AI, 3 anni di Garanzia del produttore, Display 6.9'' QHD+ Dynamic AMOLED 2X, Fotocamera 200MP, RAM 12GB, 256GB, 5.000 mAh, Titanium Silverblue [Versione italiana]

1499.00 1249.00 Compra ora
-38%

Amazfit GTR 3 Pro, 46 mm, Smartwatch Orologio Intelligente Alexa Integrato, 150 modalità di Allenamento con GPS, Monitor del Sonno, AMOLED, 5 ATM Impermeabile, Durata Batteria di 12 Giorni, SpO2

159.90 99.90 Compra ora
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
steverm16 Marzo 2022, 18:25 #1
non è possibile! Linux è inattaccabile come OSX :-D :-D
omerook16 Marzo 2022, 18:39 #2
Originariamente inviato da: steverm
non è possibile! Linux è inattaccabile come OSX :-D :-D


Si infatti hai visto é venuto giú tutto internet
Tasslehoff16 Marzo 2022, 22:24 #3
Originariamente inviato da: steverm
non è possibile! Linux è inattaccabile come OSX :-D :-D
Trollata venuta un tantino male visto che Log4Shell è una vulnerabilità di Log4j, che non c'entra nulla con linux ma può benissimo essere sfruttata su qualsiasi sistema su cui giri una jvm con Log4j
aqua8416 Marzo 2022, 22:54 #4
Originariamente inviato da: steverm
non è possibile! Linux è inattaccabile come OSX :-D :-D


Wow che battutona!!!!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^