Malware indisturbato per due anni: rubati i dati di migliaia di utenti

I ricercatori di Checkpoint hanno scoperto un nuovo malware Linux chiamato NerbianRAT, che è riuscito a rimanere attivo indisturbato per almeno due anni. Si tratta di una variante per Linux di un trojan per l’accesso remoto precedentemente noto in ambiente Windows, che era comparso per la prima volta nel 2022. La versione Linux del malware ha sfruttato vulnerabilità 1-day recentemente corrette per diffondersi.

Il gruppo criminale Magnet Goblin sembra aver utilizzato sia il NerbianRAT che una sua versione più piccola chiamata MiniNerbian per condurre vari attacchi. MiniNerbian è stato impiegato per installare backdoor nei server del servizio di e-commerce Magento, che venivano utilizzati come server di comando e controllo per connettere i dispositivi infettati con NerbianRAT.

Il malware NerbianRAT raccoglie informazioni di base, genera un ID bot e carica gli indirizzi IP hardcoded durante l’inizializzazione, poi carica la sua configurazione da un file crittografato e inizia a comunicare con il server C2. La variante Linux del malware utilizza socket TCP per inviare dati crittografati AES al server e, a seconda dei dati trasmessi, può anche utilizzare la crittografia RSA. Il malware può eseguire comandi Linux, aggiornare la configurazione o eseguire altre azioni in base ai comandi ricevuti dal server C2.

Leggi anche:

• Segnali di un possibile hacking del cellulare e come proteggere le informazioni personali

MiniNerbian, invece, sembra essere una versione semplificata di NerbianRAT e condivide buona parte del codice sorgente. Tuttavia, è capace di eseguire solo tre azioni: comandi, aggiornamenti della flag temporale e della configurazione del backdoor.

Il gruppo Magnet Goblin sembra aver sfruttato rapidamente le vulnerabilità 1-day per distribuire il malware, che è stato scoperto anche in recenti attacchi che sfruttano vulnerabilità critiche in Ivanti Secure Connect. NerbianRAT è stato trovato su server compromessi controllati da Magnet Goblin, che hanno anche creato un altro malware chiamato WarpWire per rubare credenziali VPN.

NerbianRAT per Linux differisce dalla versione Windows per la mancanza di misure protettive significative. Il malware è stato compilato approssimativamente e con informazioni di debug DWARF, che consentono ai ricercatori di visualizzare i nomi delle funzioni e delle variabili globali.

Il malware NerbianRAT ha continuato a operare indisturbato per due anni in ambiente Linux, consentendo ai criminali informatici di rubare i dati degli utenti inconsapevoli. Il report di Checkpoint fornisce indicatori per identificare se si è stati vittime dell’attacco di Magnet Goblin, aiutando le persone a capire se i propri dati sono stati compromessi.

Fonte

Ti potrebbe interessare:

• Truffe online: donne nel mirino di siti cosmetici e per neonati

Segui guruhitech su:

• Google News: bit.ly/gurugooglenews
• Telegram: t.me/guruhitech
• Facebook: facebook.com/guruhitechweb
• Twitter: twitter.com/guruhitech1
• Instagram: instagram.com/guru_hi_tech/
• Threads: threads.net/@guru_hi_tech
• GETTR: gettr.com/user/guruhitech
• Rumble: rumble.com/user/guruhitech
• VKontakte: vk.com/guruhitech
• MeWe: mewe.com/i/guruhitech
• Skype: live:.cid.e496a29c3d8dfd2
• WhatsApp: bit.ly/whatsappguruhitech

Esprimi il tuo parere!

Ti è piaciuta questa notizia? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo guruhitech@yahoo.com.