I ricercatori del team Qihoo 360 di NETLAB hanno rivelato una nuova #backdoor in grado di rubare le credenziali di accesso degli utenti, le informazioni sui dispositivi infettati e l'esecuzione di comandi arbitrari sui sistemi #Linux.
Il# malware è un #dropper, soprannominato #Facefish, in grado di droppare sul server infettato un #rootkit utilizzando il cifrario #Blowfish per crittografare le comunicazioni con il #C2.
Facefish è composto da 2 parti, Dropper e Rootkit, e la sua funzione principale è determinata dal modulo Rootkit, che funziona al livello Ring 3 e viene caricato utilizzando una injection nella variabile LD_PRELOAD.
Questa scoperta si basa su evidenze riportate dai ricercatori di Juniper Networks dove si documenta un attacco al Control Web Panel (CWP), prima noto come #CentOs CWP, con lo scopo di esfiltrare dati.
L'esatta vulnerabilità sfruttata dall'attaccante rimane poco chiara, in quanto la crittografia e l'offuscamento intenzionale dell'eseguibile rende difficile accertare quali versioni di CWP sono vulnerabili all'attacco.
Il dropper contiene con un proprio toolset di comandi, tra cui il rilevamento dell'ambiente di runtime, il beaming verso il C2, la configurazione del rootkit e l'avvio del rootkit che esegue una #injection nel processo #sshd.
Pillole di #penetrationtest
Non si deve assolutamente abbassare la guardia rispetto alle forme di attacco basate sul cyber squatting (typo squatting, bit squatting) perché sono ancora ben radicate nell'arsenale di attacco degli agenti di minaccia.
E' proprio di oggi la notifica da parte del portale di condivisione di informazioni di sicurezza IBM X-Force Exchange della individuazione di alcune campagne di squatting. E le vittime saranno al solito clienti di industrie molto note (Paypal e HotMail) che certamente sono attente alla loro sicurezza, ma difficilmente possono tenere sotto controllo questa forma di attacco che coinvolge tutto il parco clienti con la semplicità della registrazione di nomi di dominio "truffaldini" come paypal-groups.com, secure-paypal-loginuser.com, hotmails.se, htmail.se,
ecc
Per approfondimenti:
https://exchange.xforce.ibmcloud.com/collection/6cc516faf515233c3b5765707e9149e1
https://exchange.xforce.ibmcloud.com/collection/a6599fef030d43f349fbe31d1805c8f5