Un nuovo malware Linux sviluppato utilizzando il compilatore di script shell (shc) è stato osservato distribuire un minatore di criptovaluta su sistemi compromessi.
“Si presume che dopo aver eseguito con successo l’autenticazione attraverso un attacco con dizionario su server SSH Linux gestiti in modo inadeguato, vari malware siano stati installati sul sistema di destinazione”, ha affermato AhnLab Security Emergency Response Center (ASEC) in un rapporto pubblicato oggi.
SHC consente agli script della shell di essere convertiti direttamente in binari, offrendo protezione contro le modifiche non autorizzate del codice sorgente. È analogo all’utilità BAT2EXE in Windows utilizzata per convertire qualsiasi file batch in un eseguibile.
Utilizzando shc per generare file ELF, l’idea è quella di proteggere i comandi della shell dannosi dall’ispezione e potenzialmente bypassare il rilevamento da parte del software di sicurezza poiché gli eseguibili sono codificati utilizzando l’algoritmo RC4.
In una catena di attacchi dettagliata dalla società di sicurezza informatica sudcoreana, una compromissione riuscita del server SSH porta alla distribuzione di un malware shc downloader insieme a un bot IRC DDoS basato su Perl.
Il downloader shc procede successivamente a recuperare il software di minatore XMRig per estrarre criptovaluta, con il bot IRC in grado di stabilire connessioni con un server remoto per recuperare comandi per montare attacchi DDoS (Distributed Denial-of-Service).
“Questo bot supporta non solo attacchi DDoS come TCP flood, UDP flood e HTTP flood, ma varie altre funzionalità tra cui l’esecuzione dei comandi, la shell inversa, la scansione delle porte e la cancellazione dei log”, hanno detto i ricercatori ASEC.
Il fatto che tutti gli artefatti del downloader shc siano stati caricati su VirusTotal dalla Corea del Sud suggerisce che la campagna si concentra principalmente su server SSH Linux scarsamente protetti nel paese.
Si consiglia agli utenti di seguire l’igiene delle password e ruotare le password su base periodica per prevenire tentativi di forza bruta e attacchi con dizionario. Si consiglia inoltre di mantenere aggiornati i sistemi operativi.