AT&T Alien Labs ha scoperto un nuovo malware che prende di mira endpoint e dispositivi IoT che eseguono sistemi operativi Linux, denominato Shikitega, che viene distribuito in una catena di infezione multistadio in cui ogni modulo risponde a una parte del payload e scarica ed esegue quello successivo. Un utente malintenzionato può ottenere il pieno controllo del sistema, oltre a un minar di criptovaluta che verrà eseguito e impostato per persistere.
Shikitega utilizza una catena di infezione a più livelli, in cui il primo contiene solo poche centinaia di byte, e ogni modulo è responsabile di un’attività specifica, dal download e l’esecuzione di meterpreter Metasploit, allo sfruttamento delle vulnerabilità di Linux, all’impostazione della persistenza nella macchina infetta al download e eseguire un cryptominer.
Il malware utilizza un codificatore polimorfico per renderlo più difficile da rilevare da parte dei motori antivirus e abusa dei servizi cloud legittimi per archiviare alcuni dei suoi server di comando e controllo (C&C).
Un attore malevole può eseguire un’ampia gamma di attacchi, tra cui controllo della webcam, sniffer, reverse shell, controllo dei processi, esecuzione di comandi shell. Inoltre, il malware utilizza wget per scaricare ed eseguire il dropper della fase successiva.
Gli altri stadi successivi sfruttano le vulnerabilità di Linux (CVE-2021-4034 e CVE-2021-3493), impostano la persistenza nella macchina infetta e scaricano ed eseguono il cryptominer XMRig che mina la criptovaluta Monero.
“Gli attori delle minacce continuano a cercare modi per fornire malware in nuovi modi per rimanere sotto il radar ed evitare il rilevamento. Il malware Shiketega viene distribuito in modo sofisticato, utilizza un codificatore polimorfico e distribuisce gradualmente il suo carico utile in cui ogni passaggio rivela solo una parte del carico utile totale. Inoltre, il malware abusa dei servizi di hosting noti per ospitare i suoi server di comando e controllo. Rimani al sicuro!”, concludono gli esperti di AT&T Alien Labs.
https://cybersecurity.att.com/blogs/labs-research/shikitega-new-stealthy-malware-targeting-linux
