Nel Web circola una nuova minaccia diretta contro i sistemi Linux. Secondo la società di cybersecurity Intezer Labs, citata da Zdnet, il malware HiddenWasp sarebbe stato creato da un gruppo di hacker di origine cinese e sarebbe utilizzato per controllare da remoto server e computer. Il programma maligno è composto da un rootkit user-mode, da un trojan e da uno script iniziale che serve per far scattare l’infezione. Secondo quanto spiegato dal ricercatore Nacho Sanmillan, il codice di HiddenWasp somiglierebbe molto alla variante Linux di Winnti, uno strumento di hacking anch’esso riconducibile a pirati informatici cinesi. Ma non solo, caratteristiche e stringhe del nuovo malware avrebbero molti elementi in comune anche con altri software malevoli, come il rootkit open source Azazel e le minacce ChinaZ ed Elknot.
L’origine del malware sembra essere quindi abbastanza chiara. “Abbiamo notato che i file sono stati caricati su VirusTotal da un percorso che contiene il nome di una società di analisi forense cinese nota come Shen Zhou Wang Yun Information Technology Co., Ltd.”, ha spiegato Sanmillan. “Inoltre, i campioni del programma sembrano essere ospitati in server gestiti dall’azienda ThinkDream di Hong Kong”.
I ricercatori non sono però riusciti a ricostruire le modalità di infezione di HiddenWasp: sembra che il software maligno sia stato utilizzato in sistemi già compromessi e controllati dagli hacker. Il malware servirebbe quindi come elemento per controllare da remoto dispositivi infettati in precedenza. Una difesa già bucata rende HiddenWasp ancora più pericoloso: il programma può interagire con il filesystem; caricare, scaricare ed eseguire file; lanciare comandi da terminale e molto altro.