Una botnet DDoS emergente nota per infettare i dispositivi Windows e utilizzarli per estrarre criptovaluta è alla fine sbarcata anche su Linux. Il malware dietro la botnet è stato chiamato Satan DDoS dai suoi creatori, ma gli esperti di sicurezza, per evitare che venga confuso con il ransomware Satan, hanno iniziato a chiamarlo Lucifer. Lucifer è un malware scoperto per la prima volta dai ricercatori dell'Unità 42 di Palo Alto Networks a maggio e all'epoca veniva utilizzato per distribuire un trojan chiamato XMRig miner sui sistemi Windows vulnerabili. XMRig è un software per minare legittimamente criptovaluta Monero, mentre il trojan lo impersonifica per riuscire a infiltrarsi sui sistemi passando inosservato. I ricercatori dell'azienda hanno iniziato a esaminare la botnet dopo averla scoperta mentre seguivano diversi casi riguardo lo sfruttamento di una vulnerabilità critica in un componente del framework Web Laravel. Tale vulnerabilità avrebbe potuto portare ad eseguire codice malevolo da remoto.
I criminali informatici dietro la botnet hanno già potenziato le capacità della versione Windows, a quanto pare il software malevolo sarebbe ora in grado di rubare le credenziali per aumentare i propri privilegi, oltre a poter minare criptovaluta Monero utilizzando macchine infette.
Port di Lucifer Linux
Secondo un nuovo resoconto dell'ATLAS Security Engineering & Response Team (ASERT) di Netscout, il port Linux del malware Lucifer mostra lo stesso messaggio di benvenuto della sua controparte Windows. La nuova versione Linux del malware ha funzionalità simili alla variante Windows e include moduli per cryptojacking e per il lancio di attacchi flooding basati su TCP, UCP e ICMP. I dispositivi Linux infettati da Lucifer possono essere utilizzati anche negli attacchi DDoS basati su HTTP. Nel loro rapporto, i ricercatori di Netscout hanno spiegato come gli hacker dietro a Lucifer possano utilizzare i sistemi Linux infetti per lanciare attacchi DDoS ancora più grandi. "Il fatto che possa essere eseguito su sistemi basati su Linux significa che potrebbe potenzialmente compromettere server ad alte prestazioni e fare uso della enorme larghezza di banda disponibile nei data center Internet (IDC). Ogni nodo andrebbe ad aumentare la potenza dell’attacco DDoS ben oltre le capacità tipiche della maggior parte dei bot in esecuzione su dispositivi Linux, Windows o IoT". Grazie al supporto di Linux, gli operatori di Lucifer saranno in grado di aggiungere ulteriori sistemi alla loro botnet e ciò consentirà loro di estrarre una quantità maggiore di criptovaluta.
Fonte: BleepingComputer
