Negli ultimi giorni diversi sistemi Linux sparsi in tutto il mondo hanno avuto a che fare con un malware autoreplicante finora sconosciuto.
Stiamo parlando di un worm, che lavora nel contesto del criptomining e che utilizza tecniche insolite per nascondere le proprie attività. Secondo l’analisi degli esperti di cybersecurity, si tratta di una versione customizzata della botnet Mirai, capace di infettare dispositivi IoT (server, webcam, router e tanti altri) che adottano come sistema operativo Linux.
Mirai è un nome ben noto a chi si occupa di sicurezza informatica. Si tratta di un agente malevolo attivo dall’ormai lontano 2016, sfruttato largamente per sferrare attacchi DDoS. Il codice sorgente di questo malware, nel corso degli anni, ha fornito materiale su cui lavorare per i cybercriminali, che hanno creato diverse varianti e agente malevoli derivati, tra cui quella appena scoperta.
Il worm è un derivato di Mirai, ma non ha come fine gli attacchi DDoS
Il nuovo worm, a quanto pare, viene utilizzato per contagiare sempre più dispositivi e alimentare una nuova rete sfruttata dai criminali informatici, ovvero NoaBot.
Invece di prendere di mira dispositivi con password Telnet deboli, NoaBot prende di mira le password relative alle connessioni SSH. Non solo: come osservato dagli esperti di Akamai, invece di eseguire attacchi DDoS classici, la nuova botnet installa un software di mining di criptovaluta, che consente agli aggressori di generare cripto utilizzando hardware, energia elettrica e la larghezza di banda delle vittime.
Il derivato di Mirai, infatti, agisce installando sui dispositivi un cryptominer, a sua volta una versione modificata di XMRig. Stando ai dati raccolti gli attacchi registrati finora hanno avuto origine da 849 indirizzi IP, quasi tutti probabilmente relativi a un dispositivo infetto.
I casi di malware collegati al contesto IoT è una realtà sempre più concreta. In tal senso, il principale metodo di prevenzione consiste nel cambiare le eventuali parole d’accesso proposte di default dai dispositivi, sostituendole con password robuste.