LOrdix, il signore del malware
Cosa fa questo LOrdix? L’utilizzo che si fa di questo malware è atto a rubare informazioni personali, ma non solo, è anche in grado si installare miner per cripto valute. Il malware è composto da 5 moduli principali che forniscono una serie di funzionalità decisamente ampia, a partire dagli strumenti di offuscamento pensati per aggirare i controlli antivirus. Una volta installato e inserito nel sandbox il malware inizia il suo grande lavoro raccogliendo tutti i dati presenti. Prima di tutto si occupa delle informazioni del sistema, CPU, RAM, sistema antivirus. Queste servono per dare un quadro generale a chi lo controlla il quale in questo modo capisce che tipo di dispositivo ha colpito.
Scopo principale di questo malware è utilizzare la potenza di calcolo del computer infetto per generare cripto-valuta, merce di cui ormai i pirati vanno ghiotti. Ad ogni modo, l’uso del sistema per il solo furto di dati personali, è già di per sè inquietante e merita la massima attenzione. Vedremo se dall’altra parte della barricata, i buoni riusciranno a trovare le contromosse per scongiurare il peggio che sembra profilarsi con l’arrivo di un malware così potente e ben progettato.
Dai russi di Dr. Web, invece, è giunta la segnalazione relativa al virus Linux.BtcMine.174 che va a compromettere l’assunto secondo il quale i computer con Linux siano immuni alle infezioni informatiche. Le 1000 e oltre righe di codice di questo virus, infatti, colpiscono proprio il Pinguino, andando a collocarsi in una cartella con permessi di scrittura, prima di aggiornarsi via server remoto.
A quel punto, grazie ad alcune vulnerabilità, assunti i diritti amministrativi e chiusi i processi attivi per lui deleteri (es. antivirus), inizia a produrre cripto-monete Monero: anche in questo caso è previsto un modulo che, attenzionate le connessioni attive (via autorun), lo propaga (vis SSH)ovunque possibile ma, in più, tra le sue componenti accessorie, non mancano neppure un trojan (denominato sarcasticamente Bill.Gates) ed un rootkit che, grazie ad una backdoor, comunicano agli hacker ogni qualcosa si digiti in locale.
