È stato scoperto un nuovo rootkit che interessa i sistemi Linux (si apre in una nuova scheda), in grado sia di caricare che di nascondere programmi dannosi.
Come rivelato dai ricercatori di sicurezza informatica Avast, il rootkit del malware (si apre in una nuova scheda), chiamato Syslogk, si basa su un vecchio rootkit open source chiamato Adore-Ng.
È anche in una fase di sviluppo relativamente precoce (attiva), quindi resta da vedere se diventi o meno una minaccia a tutti gli effetti.
Quando Syslogk viene caricato, rimuove prima la sua voce dall'elenco dei moduli installati, il che significa che l'unico modo per rilevarlo è tramite un'interfaccia esposta nel file system /proc. Oltre a nascondersi dall'ispezione manuale, è anche in grado di nascondere le directory che ospitano malware cancellato, nascondere i processi e il traffico di rete.
Ma forse la cosa più importante, puoi avviare o interrompere i payload da remoto.
Entra in Rekoobe
Uno di questi payload scoperto dai ricercatori di Avast si chiama ELF:Rekoob, o meglio conosciuto come Rekoobe. Questo malware è un Trojan backdoor scritto in C. Syslogk può rilasciarlo sull'endpoint compromesso (si apre in una nuova scheda) e quindi lasciarlo inattivo fino a quando non riceve un "pacchetto magico" dagli operatori del malware. La tasca magica può avviare e bloccare il malware.
"Abbiamo scoperto che il rootkit Syslogk (e il payload di Rekoobe) si allineano perfettamente se usati di nascosto insieme a un falso server SMTP", ha spiegato Avast in un post sul blog. "Considera quanto potrebbe essere furtivo: una backdoor che non si carica fino a quando determinati pacchetti magici non vengono inviati alla macchina. Quando richiesto, sembra essere un servizio legittimo nascosto nella memoria, nascosto su disco, eseguito "magicamente" in remoto, nascosto sulla rete. Anche se trovato durante una scansione delle porte di rete, sembra comunque essere un server SMTP legittimo.
Rekoobe stesso è basato su TinyShell, spiega BleepingComputer, anch'esso open source e ampiamente disponibile. Viene utilizzato per eseguire comandi, il che significa che è lì che viene fatto il danno: gli hacker utilizzano Rekoobe per rubare file, divulgare informazioni sensibili, rilevare account e altro ancora.
Il malware è anche più facile da rilevare in questa fase, il che significa che i criminali devono prestare molta attenzione quando implementano ed eseguono la seconda fase del loro attacco.
Via: BleepingComputer (si apre in una nuova scheda)