HiddenWasp: la nuova suite di malware per Linux

I ricercatori informatici di Intezer hanno appena scoperto un malware, diffuso come un vero e proprio rootkit completo, in grado di infettare PC e non essere rilevato dalla maggioranza degli antivirus online attualmente in circolazione. Il virus si affida ad un server che si occupa di diffonderlo in automatico su internet, e che è in grado di aggredire i computer delle vittime in modo graduale. Il vettore di attacco, cioè il mezzo con cui il malware si propaga, non è ancora attualmente noto con certezza, per quanto si sappia che HiddenWasp – questo il nome del virus in circolazione – sia in grado di prendersi permessi di eseguire codice arbitrario, caricare file via upload e così via. HiddenWasp è in grado altresì di controllare il computer della vittima da remoto, quindi senza che l’utente ne sappia nulla e sfruttando internet per farlo.

Il malware è stato apparentemente realizzato sfruttando parti di codice di altri rootkit di malware open source, come ad esempio Mirai e Azazel rootkit. L’unica possibile soluzione sembra quella di bloccare gli IP che stanno contribuendo alla sua diffusione, che sono quelli riportati dal sito di Intezer e che riporto di seguito (che dettaglia tutte le specifiche tecniche del malware, se vi interessa):

103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz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HiddenWasp è in grado di colpire specificatamente sistemi Linux, per quello che ne sappiamo. In genere i computer Linux vengono considerati immuni da attacchi di questo genere, cosa in genere falsa e dipendente da vari fattori (legati più che altro a quanto sia esperta la persona che l’ha configurato).

0 voti