C'è un nuovo pericoloso malware per Linux che sta facendo il giro del web. Soprannominato Shikitega, il malware ha infettato sia i computer Linux che i dispositivi IoT con payload aggiuntivi.
Come funziona il malware Shikitega per infettare un sistema Linux?
Scoperto da t&T laboratori alieni, il malware viene distribuito attraverso una catena di infezione multistadio in cui ogni modulo risponde a una parte del carico utile, scaricare ed eseguire quello successivo. Il malware Shikitega può essere utilizzato per ottenere il pieno controllo del sistema compromesso. Il malware è inoltre dotato di un minatore di criptovalute che è "impostato per persistere,"secondo i ricercatori" scoperte.
Shikitega scarica ed esegue il meterpreter Mettle di Metasploit per aumentare il suo controllo sugli endpoint compromessi. Il malware sfrutta anche un elenco di vulnerabilità del sistema Linux per ottenere privilegi elevati, raggiungere la persistenza ed eseguire il minatore di criptovaluta. È anche interessante notare che la minaccia utilizzava un codificatore polimorfico per ostacolare i rilevamenti degli antivirus. Per svolgere le sue attività dannose, il malware sfrutta i servizi cloud in cui archivia alcuni dei suoi server di comando e controllo.
In che modo il malware Shikitega ottiene la persistenza?
La persistenza sui sistemi infetti si ottiene scaricando ed eseguendo 5 script di shell specifici, e impostazione 4 crontab [pianificatori di lavoro su sistemi operativi simili a Unix], due dei quali sono per l'utente attualmente connesso e gli altri due – per l'utente root. Se al momento del controllo il comando crontab non è disponibile sulla macchina, il malware lo installerà.
È da notare che il componente di cripto-mining del malware, che scarica ed esegue il minatore XMRig, imposta anche un crontab, rendendo così il minatore persistente.
Insomma, Il malware Shikitega è un esempio di malware distribuito in modo sofisticato, utilizzando un codificatore polimorfico e distribuendo gradualmente il suo carico utile.
Simbionte, scoperto dai ricercatori di Blackberry, è un altro malware Linux scoperto di recente progettato per infettare tutti i processi in esecuzione su macchine infette. Il malware è in grado di rubare le credenziali dell'account e fornire accesso backdoor ai suoi operatori.