Remaiten, il malware che attacca Linux

C’è una nuova e più potente versione di Kaiten, un malware controllato tramite Internet Relay Chat (IRC) usato di solito per effettuare attacchi DDoS (Distributed Denial of Services), fa sapere Eset in una nota. Il malware rimasterizzato è stato soprannominato Linux/Remaiten e prende di mira apparati di rete come router, gateway e access point wireless e potenzialmente anche dispositivi IoT equipaggiati con sistemi operativi Linux.

I ricercatori hanno finora individuato tre varianti di Linux /Remaiten, identificate come versioni 2.0, 2.1 e 2.2. In base all’analisi del codice, la principale novità di questa versione è il suo sofisticato meccanismo di diffusione: utilizzando di base il sistema di scansione telnet di Linux/Gafgyt, Linux/Remaiten ne migliora il meccanismo di diffusione riuscendo a inviare il proprio codice binario eseguibile su apparati di rete come router e altri dispositivi collegati, cercando di colpire soprattutto quelli protetti da credenziali deboli. Il lavoro del componente Downloader, incorporato nel binario del bot stesso, è di richiedere il codice binario del bot Linux/Remaiten al suo server di comando e controllo. Quando questo viene eseguito crea un altro bot che potrà poi essere usato dai criminali. I ricercatori di hanno notato che questa tecnica era già stata usata dal Linux/Moose per diffondere infezioni.

È curioso, sostiene Eset nel report, che questa variante del malware includa un messaggio destinato a chiunque tenti di neutralizzare questa minaccia: all’interno del messaggio di benvenuto, la versione 2.0 cita direttamente malwaremustdie.org che ha pubblicato informazioni dettagliate su Gafgyt, Tsunami e altri membri di questa famiglia di malware. (fonte)