L’ultima variante TgRat colpisce i server Linux

Gli esperti di sicurezza di Dr.Web hanno scoperto una nuova versione del trojan TgRat, noto per attaccare i sistemi Windows, ma che ora è stato adattato per prendere di mira i server Linux.

Il nostro laboratorio di analisi dei virus ha ricevuto un ticket da un provider di hosting per indagare su un incidente di sicurezza informatica che coinvolgeva quella che si è rivelata essere la versione Linux del trojan TgRat“.

Questa variante del malware, identificata come Linux.BackDoor.TgRat.2, è particolarmente insidiosa per la sua capacità di essere controllata tramite un bot di Telegram.

Caratteristiche principali di TgRat

Una delle caratteristiche distintive di TgRat è l’uso di un bot di Telegram come server di controllo. Gli aggressori possono così impartire comandi al trojan attraverso un gruppo chiuso nel messenger, rendendo difficile la rilevazione del traffico anomalo.

Secondo quanto spiegato dai ricercatori Dr.Web, “Il trojan è progettato per colpire computer specifici: quando si avvia, controlla l’hash del nome del computer rispetto a una stringa incorporata. Se i valori non corrispondono, TgRat termina il suo processo. Altrimenti, si connette alla rete e implementa un metodo piuttosto insolito per interagire con il suo server di controllo, che è un bot di Telegram.”

In questo modo il trojan può scaricare file da un sistema compromesso, acquisire screenshot, eseguire comandi in remoto e caricare file utilizzando allegati Telegram.

Fonte Dr.Web

Inoltre, il codice del trojan è crittografato tramite algoritmo RSA e utilizza l’interprete bash per l’esecuzione dei comandi in un singolo messaggio.

Fonte Dr.Web

Perché Telegram come vettore di controllo

L’uso di Telegram come vettore di controllo rappresenta una sfida significativa per la sicurezza informatica.

Telegram è ampiamente utilizzato come messenger aziendale in molte aziende.” Si legge sul blog Dr.Web, “Pertanto, non sorprende che gli attori delle minacce possano usarlo come vettore per distribuire malware e rubare informazioni riservate: la popolarità del programma e il traffico di routine verso i server di Telegram rendono facile mascherare il malware su una rete compromessa.”. Tuttavia, Dr.Web ritiene che un’analisi attenta del traffico di rete, come rilevare uno scambio di dati con i server di Telegram da parte di server locali, potrebbe aiutare a rilevare attività sospette.

Conclusione

La scoperta di TgRat per Linux sottolinea l’importanza di una vigilanza continua e di misure di sicurezza avanzate per proteggere i server da minacce sempre più sofisticate. Gli amministratori di sistema dovrebbero monitorare attentamente il traffico di rete e implementare soluzioni di sicurezza robuste per prevenire attacchi simili in futuro.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.