I pirati sfruttano la vulnerabilità di Samba per minare criptovaluta

Giu 12, 2017 Marco Schiaffino Malware, Minacce, News, RSS, Trojan 0

Qualcuno lo ha battezzato “SambaCry”. Il trojan si diffonde usando la stessa falla sfruttata da WannaCry e usa i server Linux per generare Monero. Per ora…

C’è un aspetto della sicurezza informatica che è tutto sommato rassicurante: le previsioni dei ricercatori si avverano quasi sistematicamente. Ogni volta che viene individuata una vulnerabilità è solo quesitone di giorni prima che qualche pirata informatico riesca a sfruttarla per fare danni.

A confermare la regola, questa volta, è SambaCry, un trojan individuato dai ricercatori di Kaspersky e che sfrutta una falla di sicurezza di Samba, la piattaforma open source che offre funzioni di condivisione di file e stampanti a livello di rete locale.

La vulnerabilità (CVE-2017-7494) è stata individuata alla fine di maggio e sfrutta una falla nel Server Message Block esattamente come ha fatto WannaCry, il ransomware che il mese scorso ha colpito centinaia di migliaia di computer in tutto il mondo.

Meno di una settimana dopo (ma il report è stato pubblicato solo venerdì) Kaspersky ha individuato SambaCry. Il malware agisce in maniera estremamente metodica. Per prima cosa verifica la possibilità di accedere in modalità scrittura sul disco, copiando al suo interno un file di testo composto da 8 caratteri casuali.

Se il tentativo ha successo, SambaCry cancella il file e procede con l’attacco. Il payload viene caricato sotto forma di un plugin per Samba che agisce con privilegi di super-utente ed è residente esclusivamente in memoria.

Il passo successivo prevede l’upload di due file distinti. Il primo è cblRWuoCc.so, che i ricercatori Kaspersky hanno ribattezzato con il nome di EternalMiner. Il suo compito è quello di installare un popolare software di mining chiamato cpuminer.

Il file cblRWuoCc.so si collega a Internet per scaricare e installare un popolare software dedicato al mining di criptovaluta.

Il programma, in pratica, sfrutta la potenza di calcolo della macchina infetta per generare Monero, una criptovaluta simile a Bitcoin che sta diventando molto popolare tra i cyber-criminali. Monero, infatti, ha caratteristiche tecniche che promettono di garantire l’assoluto anonimato nelle transazioni, rendendola una valuta ideale per operazioni illegali.

Stando a quanto riportato dai ricercatori Kaspersky, per il momento l’operazione non ha portato ai cyber-criminali grandi guadagni: nel wallet su cui vengono “caricati” gli XMR (la sigla delle monete di Monero – ndr) ci sarebbero al momento l’equivalente di 5.400 dollari.

Considerato che il trojan sarebbe attivo da almeno un mese, non si tratta di cifre entusiasmanti. Non è escluso, però, che i pirati informatici che hanno creato SambaCry trovino altri modi per guadagnare denaro dalla loro attività.

Ad aiutarli potrebbe essere INAebsGB.so, il secondo file che SambaCry carica sulla macchina infetta. Si tratta di una reverse shell, che consente loro di fare letteralmente quello che vogliono come scaricare ed eseguire codice in remoto o cancellare tutti i dati presenti sul server.

L’unica consolazione è che il numero di server vulnerabili all’attacco non è così elevato. Al momento dell’annuncio della vulnerabilità, i ricercatori di Rapid7 avevano individuato circa 100.000 server vulnerabili all’attacco. Dopo l’annuncio e la pubblicazione degli aggiornamenti che correggono il bug, questo numero dovrebbe essersi drasticamente ridotto. Si spera…

Condividi l'articolo