Nuovo Malware Linux / Shishiga

Un nuovo ceppo di malware destinato ai sistemi Linux, soprannominato  Linux / Shishiga, potrebbe trasformarsi in una  pericolosa minaccia per i sistemi GNU/Linux.

Linux / Shishiga Malware
Linux / Shishiga Malware

Linux / Shishiga malware – Eset (l’ingegnere Michal Malik)  ha annunciato  la minaccia in un post  online : Una nuova famiglia di Lua non legata ai malware LuaBot è nata e utilizza quattro diversi protocolli – SSH, Telnet, HTTP e BitTorrent – e utilizza script Lua.

Lua è un linguaggio di programmazione caratterizzato dalla sua natura leggera e incorporabile, che lo rende un efficiente linguaggio di scripting. Supporta la programmazione procedurale, la programmazione object-oriented, la programmazione funzionale, la programmazione dati e il data-descriptioni.

“Mentre questo nuovo ceppo di malware non rompe un nuovo terreno in termini di exploit, affina alcune tecniche esistenti che ha preso in prestito da altri ceppi di malware”, ha osservato Jacob Ansari, amministratore di PCI/payment presso Schellman & Company.

Cosa fa ?

Linux/Shishiga si rivolge ai sistemi GNU / Linux usando un vettore comune di infezione basato su un attacco di tipo brute-force su  credenziali deboli basate su un elenco di password incorporato. Il malware utilizza un suo elenco interno per provare una varietà di password  nel tentativo di accedere. Questo è un approccio simile utilizzato da Linux/Moose, con la capacità aggiunta di credenziali SSH brute-forcing.

Linux/Moose è una famiglia di malware che riguarda principalmente i router Linux fascia consumer, i modem via cavo e DSL e altri computer embedded. Una volta infettati, i dispositivi compromessi vengono utilizzati per rubare il traffico di rete non crittografato e offrire servizi di proxy per l’operatore botnet.

Eset ha trovato diverse varianti di Linux/Shishiga per varie architetture, tra cui MIPS (grandi e piccoli endian), ARM (armv4l), i686 e PowerPC, comunemente utilizzati nei dispositivi IoT, ma anche altre architetture, come SPARC, SH-4 o m68k, potrebbero essere supportate.

“A differenza del malware di IoT che puntano su credenziali di default, questo attacco brute-force che tenta  di compromettere i computer Linux è rivolta a password deboli che gli utenti  avrebbero scelto”, ha detto Mounir Hahad, direttore senior di Cyphort Labs. In genere gli utenti di Linux sono abbastanza esperti e non utilizzano tali password , ha sottolineato. “Pertanto, è improbabile che vedremo una grande diffusione di questo malware nel suo stato attuale”.

Quindi per favore, non utilizzate le classiche password …. basta davvero poco per essere sicuri con Linux !

Elenco delle password piu’ tuilizzate nel 2016

  1. 123456 (i primi sei numeri della tastiera, password utilizzata dal 17% degli utenti internet)
  2. 123456789
  3. qwerty
  4. 12345678
  5. 111111
  6. 1234567890 (l’intera riga dei numeri della tastiera)
  7. 1234567
  8. password (ahahahahahahahah)
  9. 123123
  10. 987654321
  11. qwertyuiop (la seconda linea della tastiera no eh ?)
  12. mynoob
  13. 123321
  14. 666666
  15. 18actskd2w (sicuramente generata da un bot come password predefinita e mai cambiata dall’utente)
  16. 7777777 (sette volte 7, geniale)
  17. 1q2w3e4r (i primi quattro numeri alternati alle prime lettere della tastiera)
  18. 654321
  19. 555555
  20. 3rjs1la7qe
  21. google (sicuramente la password dell’account Google)
  22. 1q2w3e4r5t
  23. 123qwe
  24. zxcvbnm (l’intera ultima riga delle lettere della tastiera)
  25. 1q2w3e