Il team di Checkpoint, esperti della cybersecurity hanno sollevato un allarme significativo. Un malware, denominato NerbianRAT, ha operato indisturbato nell’ambiente Linux per almeno due anni. Il malware, a quanto spiegato, sembra essere la versione Linux di un trojan per l’accesso remoto già conosciuto in Windows, con le sue radici che risalgono al 2022. Ciò che lo rende particolarmente pericoloso è il suo operare nell’ombra, sfruttando vulnerabilità recentemente corrette per diffondersi in modo subdolo tra i dispositivi.
Il gruppo di cybercriminali noto come Magnet Goblin ha usato il malware, combinandolo con una sua controparte più piccola, MiniNerbian, per condurre una serie di attacchi mirati. MiniNerbian, in particolare, entrava nei server del popolare servizio di e-commerce Magento, trasformandoli in nodi di comando e controllo a cui connettere device contenenti NerbianRAT.
Cosa fa esattamente il malware NebianRAT
Il funzionamento di NerbianRAT è a suo modo ingegnoso. Il malware raccoglie informazioni basilari, genera un ID bot e carica indirizzi IP hardcoded durante la sua inizializzazione. Successivamente, stabilisce una comunicazione crittografata con il suo server di comando e controllo, attraverso il quale può ricevere istruzioni per eseguire una serie di azioni dannose, compresi aggiornamenti della configurazione, comandi di sistema e altro ancora. MiniNerbian è invece una versione semplificata di NerbianRAT. Esso condivide gran parte del codice sorgente, ma compie solo tre azioni: esegue comandi, aggiorna la flag temporale e aggiorna anche la configurazione del backdoor.
Il modus operandi del gruppo Magnet Goblin è stato caratterizzato da una rapida sfruttamento delle vulnerabilità 1-day per distribuire il malware. Questo approccio aggressivo ha portato alla scoperta della presenza del malware anche in recenti attacchi in Ivanti Secure Connect. Una delle caratteristiche più preoccupanti di NerbianRAT è la sua mancanza di misure protettive importanti. Di positivo c’è che il malware è stato compilato in modo approssimativo e contiene informazioni di debug che agevolano i ricercatori nel comprendere il funzionamento interno del codice.
Il report di Checkpoint fornisce importanti indicatori per individuare se si è stati vittime della campagna di Magnet Goblin, aiutando così gli utenti a proteggere i propri dati e a mantenere sicuri i propri sistemi da futuri attacchi. Come fare per proteggersi? Bisogna seguire le migliori pratiche di sicurezza informatica, mantenere costantemente aggiornati i software e fare attenzione alle potenziali minacce.