Allarme BlueShell: il malware agisce su sistemi Windows, macOS e Linux

Secondo gli esperti di AhnLab Security Emergency Response Center (ASEC), nell’ultimo si sta verificando un aumento di attacchi legati al malware BlueShell.

Questo agente malevolo, a quanto pare, si sta rapidamente diffondendo in oriente (soprattutto Sud Corea e Thailandia), ma potrebbe ben presto giungere anche in occidente. Si tratta di una backdoor, attivo dal 2020 e realizzato con il linguaggio GO.

Stando ai rapporti degli esperti di sicurezza, BlueShell sarebbe opera di un gruppo di hacker cinesi ed è progettato utilizzando crittografia TLS per eludere il rilevamento.

A rendere questo agente malevolo particolarmente infido è il suo ampio raggio d’azione. Questo infatti, è un vero e proprio malware “multipiatafforma” in grado di infettare sia sistemi Windows che macOS e Linux.

BlueShell: come agisce il malware “multipiattaforma”

BlueShell presenta tre dati di configurazione:

• Indirizzo IP del server C&C;
• Numero di porta;
• Tempo di attesa.

Proprio Windows è il sistema operativo vittima di una delle principali campagne di questo malware, portata avanti dal gruppo cinese Dalbit di recente. Questo prende di mira principalmente server vulnerabili per rubare informazioni contenenti dati critici per richiedere un riscatto in denaro o criptovalute.

Stando a quanto riportato dagli esperti “Mentre ASEC stava monitorando BlueShell prendendo di mira l’ambiente Linux, ha identificato una forma personalizzata di BlueShell da VirusTotal“.

L’aggressore ha innanzitutto creato il malware Dropper e lo ha utilizzato per installare BlueShell, che è responsabile della creazione e dell’esecuzione di BlueShell.

La differenza principale rispetto al passato, però, è che questa versione imposta ed esegue una variabile d’ambiente denominata lgdt durante l’esecuzione. La variante BlueShell generata ottiene la variabile di ambiente lgdt, la decrittografa e la utilizza come indirizzo del server C&C.

Vista la duttilità di questo malware, il consiglio degli esperti resta quello di adottare un approccio prudente online e, quando possibile, di utilizzare un antivirus affidabile.