Dopo la segnalazione di un utente, alcuni ricercatori hanno scoperto l’esistenza di un nuovo rootkit per Linux che sembra colpire i siti Web indirizzando i visitatori verso pagine dannose. Scopriamone di più.

Brutte notizie per tutti gli utilizzatori del sistema operativo del pinguino. Alcuni ricercatori hanno scoperto l’esistenza di un nuovo rootkit abbastanza dannoso e che riguarda per lo più le distro Linux a 64-bit. Qual è il suo potenziale dannoso?

Il malware sembra essere stato appositamente progettato per iniettare gli iFrame contenuti nelle pagine Web e indirizzare tutto il traffico generato verso siti malevoli.

Dopo essere stato caricato in memoria, il rootkit, entra in azione riuscendo inoltre ad agganciarsi ad alcune funzioni del kernel dove nasconde alcuni dei suoi file più importanti. Come molti suoi altri simili, anche questo rootkit si basa su un server remoto che si occupa del controllo e gestione di alcune istruzioni.

Dopo un’attenta analisi da parte di alcuni ricercatori, il rootkit in questione non sembra essere una versione modificata di un qualsiasi altro malware gi�? noto: la prima segnalazione è infatti giunta solo la scorsa settimana, quando un utente ha pubblicato un post affermando che il suo sito Web era stato preso di mira dal malware in questione e alcuni suoi clienti hanno confermato di essere stati reindirizzati verso siti dannosi.

Il meccanismo di iniezione dell’iFrame è molto interessante: il malware provvede alla sostituizione della funzione tcp_sendmsg (che si occupa della costruzione dei pacchetti TCP) con una propria funzione, così gli iFrame dannosi vengono iniettati nel traffico HTTP modificando direttamente i pacchetti TCP in uscita.

Queste le parole di Marta Janus, del team Kaspersky Lab e che si è occupata dell’analisi del rootkit.

Tutti i siti Web su server Linux sono dunque in pericolo? Nel momento in cui scriviamo, il server al quale fa capo il rootkit è ancora attivo. Stando a quanto affermato dai ricercatori, questo nuovo rootkit non nasce con lo scopo di realizzare attacchi mirati, ma bensì viene utilizzato perlopiù per operazioni di criminalit�? informatica, non fosse altro che per una scarsa qualit�? del suo codice:

Anche se la qualit�? del codice sarebbe insoddisfacente per un grave attacco mirato, è interessante osservare come alcuni sviluppatori sono orientati alla cyber criminalit�?. In passato hanno mostrato grande abilit�? sviluppando rootkit per Windows ed ora sembrano muoversi verso Linux. L’assenza di offuscamento (che ha anche contribuito alla scoperta di questo rootkit) è un ulteriore indizio che ci fa campire che non si tratta di un sofisticato attacco mirato.

Non ci resta che attendere ulteriori sviluppi.

Fonte: Threat Post