SprySOCKS, un malware Linux di origine cinese che discende da una backdoor Windows
Non sono passati che pochi giorni da quando abbiamo raccontato del malware scoperto da Kaspersky ed associato ai download del sito Free Download Manager che siamo di nuovo a parlare di sicurezza su Linux, e nello specifico di un malware battezzato SprySOCKS.
Come racconta ArsTechnica, SprySOCKS ha un’origine curiosa, provenendo da una backdoor Windows denominata Trochilus, scoperta per la prima volta nel 2015 da ricercatori di Arbor Networks (che oggi si chiama Netscout). Trochilus aveva la particolarità di essere eseguito esclusivamente in memoria, rendendo la sua rilevazione particolarmente difficile poiché sui dischi ne rimanevano pochissime tracce.
Trochilus era stato sviluppato da APT10, un gruppo dedicato a questo genere di operazioni legato al governo cinese, noto anche come Stone Panda e MenuPass.
Nel corso degli anni, il codice sorgente di Trochilus è diventato disponibile su GitHub, aprendo la strada del suo utilizzo a diverse altre organizzazioni e gruppi di quelli che vanno definiti cracker.
Fin qui la storia della backdoor originale, che come scritto era stato pensato per Windows. Il suo adattamento per il sistema operativo Linux è l’incarnazione appena scoperta, battezzata appunto “SprySOCKS” da Trend Micro, in riferimento alla sua agilità e alla nuova implementazione del protocollo SOCKS.
Questa backdoor è in grado di raccogliere informazioni di sistema, aprire shell remote interattive per il controllo dei sistemi compromessi, elencare le connessioni di rete e creare un proxy basati sul protocollo SOCKS per il trasferimento di file e dati tra il sistema compromesso e il server di comando controllato dall’attaccante.
La parte tediosa, poco interessante e ripetitiva è però sempre racchiusa nel veicolo d’attacco, infatti sebbene SprySOCKS per la sua natura abbia delle componenti inedite, la sua diffusione è perpetrata mediante social engineering, con utenti ingannati nello scaricare software dai siti compromessi.
Ovviamente anche in questa vicenda la conclusione per molti potrebbe essere “se uno se la va a cercare, fatti suoi”, ma il problema è che a rimetterci in queste infezioni globali sono anche gli utenti virtuosi, che trovano reti rallentate, si vedono attaccati dalle botnet ed in generale vivono in un mondo insicuro.
Pertanto, come sempre, prudenza.
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.