Il nuovo malware, soprannominato B1txor20 dai ricercatori del Network Security Research Lab (360 Netlab) di Qihoo 360, concentra i suoi attacchi su dispositivi con architettura CPU Linux ARM e X64
La botnet utilizza exploit mirati alla vulnerabilità di Log4J per infettare nuovi host, un vettore di attacco molto interessante visto che decine di fornitori utilizzano la vulnerabile libreria di logging Apache Log4j. I ricercatori hanno individuato per la prima volta la botnet B1txor20 il 9 febbraio quando il primo campione è stato intrappolato da uno dei loro sistemi honeypot. In tutto, hanno catturato un totale di quattro campioni di malware, con funzionalità backdoor, proxy SOCKS5, download di malware, furto di dati, esecuzione arbitraria di comandi e installazione di rootkit.
Tuttavia, ciò che distingue il malware B1txor20 è l'uso del tunneling DNS per i canali di comunicazione con il server di comando e controllo (C2), una tecnica vecchia ma ancora affidabile utilizzata dai malintenzionati per sfruttare il protocollo DNS per eseguire il tunneling di malware e dati tramite query DNS.
I ricercatori hanno spiegato che il bot invia le informazioni sensibili rubate, i risultati dell'esecuzione dei comandi e qualsiasi altra informazione che deve essere consegnata, dopo averla nascosta utilizzando specifiche tecniche di codifica, a C2 come richiesta DNS. Dopo aver ricevuto la richiesta, C2 invia il payload al Bot in risposta alla richiesta DNS. In questo modo, Bot e C2 ottengono la comunicazione con l'aiuto del protocollo DNS.
Inoltre hanno anche scoperto che mentre gli sviluppatori del malware includevano un insieme più ampio di funzionalità, non tutte erano ancora abilitate. Questo è probabilmente un segno che le funzionalità disabilitate sono ancora difettose e i creatori di B1txor20 stanno ancora lavorando per migliorarle e attivarle in futuro.
Dal momento che la vulnerabilità di Log4J è stata esposta, vediamo sempre più malware saltati sul carro, Elknot, Gafgyt, Mirai ecc. Queste botnet sono state viste "reclutare" dispositivi e server IoT e utilizzarli per distribuire minatori di criptovalute ed eseguire attacchi DDoS su larga scala.
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
