La piattaforma malware Anchor di TrickBot è ora in grado di infettare anche i sistemi Linux diffondendosi attraverso canali nascosti e aumentandone così il grado di diffusione su obbiettivi di alto valore.
Il malware multiuso per Windows chiamato TrickBot è personalizzabile con diversi moduli per permettergli di eseguire diverse operazioni malevole all'interno dei sistemi colpiti, come ad esempio rubare informazioni importanti, password e persino installare altri malware. TrickBot è spesso preso a noleggio dai malintenzionati che lo usano per infiltrarsi in una rete e raccogliere qualsiasi informazione di valore, viene poi utilizzato per distribuire ransomware come Ryuk e Conti per criptare i dispositivi della rete come attacco finale.
Durante gli ultimi mesi del 2019 è stata scoperta da SentinelOne e NTT un nuovo framework per TrickBot denominato Anchor che sfrutta i DNS per la comunicazione con i propri server di controllo a distanza. Oltre alla distribuzione di ransomware, TrickBot Anchor viene anche usato come backdoor nelle campagne di tipo APT che si rivolgono ai punti vendita e ai sistemi finanziari.
Recentemente, un nuovo campione scoperto dal ricercatore di Stage 2 Security Waylon Grange mostra che Anchor_DNS è stato portato sui sistemi Linux con il nome 'Anchor_Linux'. Oltre a funzionare da backdoor per i dispositivi Linux colpiti in cui possono essere scaricati ed installati ulteriori malware, Anchor_Linux comprende un eseguibile TrickBot per Windows.
Secondo Intezer Labs, questo eseguibile è una versione alleggerita del malware TrickBot che viene utilizzato per infettare le macchine Windows sulla stessa rete. Per infettare i dispositivi Windows, Anchor_Linux copia il malware TrickBot incorporato negli host Windows sulla stessa rete utilizzando SMB e $IPC, per poi creare un Servizio di Windows utilizzando Service Control Manager Remote protocol e SMB SVCCTL in grado di eseguire il malware e connetterlo ai server di controllo.
"Il malware agisce come strumento di persistenza per una backdoor nascosta in ambiente UNIX, utilizzato come perno per lo sfruttamento delle vulnerabilità di Windows e come vettore di attacco iniziale non ortodosso al di fuori del phishing della posta elettronica. Permette al gruppo di prendere di mira e infettare i server in ambiente UNIX (come i router) e di utilizzarlo per entrare nelle reti aziendali", ha detto Vitali Kremez di Advanced Intel a BleepingComputer.
Per gli utenti Linux che hanno il timore di essere stati infettati, Anchor_Linux crea un file di log in /tmp/anchor.log. Se questo file esiste, è necessario eseguire un controllo completo del sistema per verificare la presenza del malware Anchor_Linux.
Questo nuovo malware mina la sicurezza di dispositivi IoT, router e persino NAS basati su sistemi Linux, una notizia non proprio rassicurante.
Cosa ne pensate? Credevate di essere al sicuro utilizzando sistemi Linux sui vostri dispositivi?
Se avete timore che il vostro PC windows venga infettato, proteggetevi con AVG Internet Security 2020: la licenza di un anno per un PC è in offerta su Amazon a circa 25 euro.