SpeakUp, il trojan invisibile agli antivirus

SpeakUp, il trojan invisibile agli antivirus

Check Point ha identificato SpeakUp, un nuovo malware che attacca sistemi Linux per installare cryptominer e aprire la strada ad altri trojan. Il problema è che a oggi non è rilevabile ad alcun antivirus.

di pubblicata il , alle 16:21 nel canale Sicurezza
Check Point
 

Check Point ha recentemente pubblicato il Global Treath Index di gennaio 19 nel quale spicca la scoperta di un nuovo trojan, SpeakUp.
SpeakUp attacca macchine Linux e si diffonde tramite vulnerabilità del tipo Command Injection over HTTP ed è considerato dai ricercatori una minaccia significativa per la sicurezza, anche perché al momento non esiste un antivirus in grado di identificarlo e rimuoverlo.

Una volta compromesso un sistema, SpeakUp cerca di replicarsi su altre macchine della rete e installare il miner XMRig e sfruttare le risorse di calcolo per il mining della criptovaluta Monero. Detta così non sembrerebbe una minaccia gravissima, non quando un ransomware per lo meno, ma secondo gli esperti SpeakUp le modalità di propagazione del virus e le tecniche di offuscamento messe in atto per nascondere il payload sono troppo evolute per limitarne l’uso alla diffusione di un comune Miner. La struttura del malware permette infatti di veicolare attacchi ben più pericolosi per le aziende, tanto che Check Point si aspetta una rapida crescita del numero di infezioni di questo tipo nell’arco di quest’anno.

Le backdoor come Speakup possono eludere il rilevamento e poi distribuire ulteriore malware potenzialmente più pericoloso ai dispositivi compromessi. Dal momento che Linux è ampiamente utilizzato nei server aziendali, ci aspettiamo una grande crescita di Speakup nel corso dell'anno, così come la gravità dei suoi attacchi.” ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point.
 

 

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

29 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
LennyNERO6920 Febbraio 2019, 16:23 #1

Mi metto comodo...


"Mariaaaa.... i popcorn e la birra!"
acerbo20 Febbraio 2019, 16:48 #2
"SpeakUp attacca macchine Linux e si diffonde tramite vulnerabilità del tipo Command Injection over HTTP"

Quindi utilizzano una falla di apache? di nginx?


"Dal momento che Linux è ampiamente utilizzato nei server aziendali, ci aspettiamo una grande crescita di Speakup nel corso dell'anno"

Grande crescita che vuole dire?
Al massimo sono a rischio i server che utilizzano appunto un servizio httpd e che sono esposti direttamente su internet e senza uno straccio di firewall/proxy.
PEr esperienza, a parte piccole realtà che non conosco, i server web si piazzano dentro dmz blindate per evitare appunto attacchi dall'esterno e se anche un server dovesse essere compromesso l'infezione resterebbe isolata ai soli server abilitati a parlarci secono le regole definite sui firewall.

Diciamo che in un'architettura classica web->app->db al massimo il trojan puo' replicarsi su due server, non su tutta la rete.
insane7420 Febbraio 2019, 16:50 #3
qualche info più precisa che era il caso di includere nell'articolo: https://research.checkpoint.com/spe...r-linux-trojan/
acerbo20 Febbraio 2019, 17:03 #4
Originariamente inviato da: insane74
qualche info più precisa che era il caso di includere nell'articolo: https://research.checkpoint.com/spe...r-linux-trojan/



quindi oltre ad un servizio http sulle macchine deve esserci installato pure php e perl.

Tra l'altro una buona regola di sicurezza é montare /tmp senza i diritti di esecuzione, cosi' anche nel caso in cui ci fossero tutti i prerequisiti necessari l'exploit non funzionerebbe.
insane7420 Febbraio 2019, 17:11 #5
Originariamente inviato da: acerbo
quindi oltre ad un servizio http sulle macchine deve esserci installato pure php e perl.

Tra l'altro una buona regola di sicurezza é montare /tmp senza i diritti di esecuzione, quindi anche nel caso in cui ci fossero tutti i prerequisiti necessari l'exploit non funzionerebbe.


non ho poi capito se solo certe versioni di php/perl sono vulnerabili o meno.
potrebbe anche essere che versioni più recenti siano state patchate e magari questa vulnerabilità non sia sfruttabile.
pabloski20 Febbraio 2019, 17:15 #6
Una buona sintesi la trovate qui https://debuglies.com/2019/02/05/sp...ux-mac-devices/

p.s. attacca pure macOS e non solo Linux
fano20 Febbraio 2019, 18:12 #7
Spaventoso e totalmente indifendibile... Linux è totalmente bucato!
pabloski20 Febbraio 2019, 18:13 #8
Originariamente inviato da: fano
Spaventoso e totalmente indifendibile... Linux è totalmente bucato!


Quindi Windows è una groveria, visto che c'è un'intera industria che fa miliardi sul malware per Windows?

E perchè non citi macOS, che pure è vittima di questa campagna malevola?

Solita trollata?
fano20 Febbraio 2019, 18:23 #9
No, voglio solo dire che il mito di Linux sicuro decade...

e sì MacOS ad usare Unix come kernel (o meglio ad avere la "compatibilità" con l'ecosistema Unix / Linux) alla luce di sto cose non è che sia stata una grande idea.

Dico di più ci sono 60'000'000 di PS4 con kernel Unix e browser completamente bacato che ne sappiamo che non stiano minando criptovalute come ossesse?
Varg8720 Febbraio 2019, 18:29 #10
Originariamente inviato da: pabloski
Quindi Windows è una groveria, visto che c'è un'intera industria che fa miliardi sul malware per Windows?

E perchè non citi macOS, che pure è vittima di questa campagna malevola?

Solita trollata?


/whoosh!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^