Scoperto PUMAKIT: Malware Linux a Più Fasi che Sfida la Sicurezza

Scoperto PUMAKIT: Malware Linux a Più Fasi che Sfida la Sicurezza

I ricercatori di Elastic Security Labs hanno recentemente scoperto un nuovo e sofisticato malware per sistemi Linux, denominato PUMAKIT. Questo malware si distingue per l’uso di tecniche avanzate di occultamento e metodi unici di escalation dei privilegi, rendendo difficile la sua rilevazione e mitigazione.

La sua architettura è complessa e a più fasi, comprendente un dropper, 2 eseguibili residenti in memoria, un modulo kernel caricabile (LKM) rootkit e un oggetto condiviso rootkit per l’utente.

Il dropper è un programma progettato per installare malware, virus o aprire una backdoor su un sistema informatico. La sua funzione principale è quella di facilitare l’infezione di un computer da parte di software dannoso, spesso in modo furtivo e senza il consenso dell’utente. Una volta attivato, il dropper avvia il processo di infezione, caricando i componenti successivi del malware.

2 eseguibili residenti in memoria operano per mantenere attiva l’infezione, garantendo che il malware rimanga in esecuzione anche dopo un riavvio del sistema. Questi eseguibili possono gestire funzioni come la comunicazione con i server di comando e controllo e l’esecuzione di ulteriori payload dannosi.

Il modulo kernel caricabile (LKM) rootkit è un componente critico che si integra nel kernel del sistema operativo, consentendo al malware di operare a un livello profondo e di nascondere la propria presenza. Questo rootkit può alterare le funzioni del kernel per mascherare attività sospette e proteggere il malware da rilevamenti.

Infine, l’oggetto condiviso rootkit per l’utente agisce a livello dell’utente, permettendo al malware di interagire con il sistema e le applicazioni senza essere rilevato.

Architettura Complessa di PUMAKIT

PUMAKIT è un malware che include anche un rootkit. PUMAKIT è progettato per attivarsi solo quando vengono soddisfatte specifiche condizioni ambientali, riducendo così la probabilità di essere scoperto. La struttura a più fasi del malware include:

  • Dropper: Il componente iniziale, identificato come il binario “cron”, che avvia il processo di infezione.
  • Eseguibili Residenti in Memoria: 2 eseguibili, /memfd:tgt e /memfd:wpn, dove il primo funge da “cron” legittimo mentre il secondo agisce come loader (caricatore) per il rootkit.
  • Rootkit LKM: Un modulo kernel che si carica solo dopo aver verificato condizioni come il controllo del Secure Boot e la disponibilità di simboli del kernel (riferimenti a funzioni e variabili che il kernel Linux utilizza per gestire le operazioni di sistema e comunicare con i moduli caricabili).
  • Rootkit Utente: Un oggetto condiviso chiamato Kitsune che interagisce con il rootkit dal livello utente.

Questa architettura multi-stadio consente al malware di eseguire il suo payload in modo furtivo, evitando l’attenzione degli strumenti di sicurezza.

Tecniche di Occultamento Avanzate

Durante le ricerche su VirusTotal, i ricercatori hanno individuato un binario sospetto chiamato “cron” che non era rilevato da alcun antivirus. Questo ha suscitato preoccupazioni riguardo alla sua natura stealth (occultamento furtivo). PUMAKIT utilizza tecniche avanzate come l’hooking delle syscall (tecnica utilizzata per intercettare e modificare il comportamento delle chiamate di sistema nel kernel Linux) e vari metodi per nascondere file e cartelle, rendendo difficile la sua identificazione.

In particolare, PUMAKIT sfrutta la syscall rmdir() per l’escalation dei privilegi, un approccio non convenzionale che complica ulteriormente la rilevazione del malware. Inoltre, il rootkit è in grado di nascondere le sue tracce dai log di sistema e dagli strumenti di monitoraggio.

Modalità di Diffusione

Il malware PUMAKIT si diffonde principalmente attraverso binari (file eseguibili) sospetti caricati su piattaforme come VirusTotal. Questi binari sono progettati per eludere il rilevamento degli antivirus e installare il rootkit sui sistemi Linux. Una volta che un sistema è infettato, PUMAKIT mantiene la persistenza utilizzando tecniche avanzate di occultamento e comunicando con server di comando e controllo (C2).

Implicazioni per la Sicurezza

PUMAKIT rappresenta una minaccia significativa per i sistemi GNU/Linux, soprattutto considerando la sua capacità di mantenere la persistenza e comunicare con i server C2 senza essere rilevato. Le sue tecniche avanzate di stealth e privilege escalation evidenziano l’evoluzione delle minacce informatiche nel panorama GNU/Linux.

Gli esperti raccomandano agli amministratori di sistema di monitorare attentamente i loro ambienti per rilevare attività sospette e considerare l’implementazione di soluzioni di sicurezza avanzate in grado di identificare comportamenti anomali associati a questo tipo di malware.

Conclusione

La scoperta del malware PUMAKIT da parte degli Elastic Security Labs sottolinea l’importanza della vigilanza continua nella sicurezza informatica. Con le sue sofisticate capacità e la sua architettura complessa, PUMAKIT rappresenta una sfida significativa per gli esperti di sicurezza e gli amministratori dei sistemi GNU/Linux. È fondamentale rimanere aggiornati sulle ultime minacce e adottare misure proattive per proteggere i propri sistemi da attacchi sempre più sofisticati.

Fonte: https://www.elastic.co/security-labs/declawing-pumakit
Fonte: https://thehackernews.com/2024/12/new-linux-rootkit-pumakit-uses-advanced.html
Fonte: https://www.scworld.com/brief/upstart-pumakit-linux-rootkit-malware-examined
Fonte: https://www.bleepingcomputer.com/news/security/new-stealthy-pumakit-linux-rootkit-malware-spotted-in-the-wild/

Visited 157 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Una risposta

  1. 20 Dicembre 2024

    […] la previsione è chiara: tra le minacce già note e quelle che stanno emergendo, come il recente Pumakit, ci troviamo di fronte a una crescente sfida per la sicurezza. La vulnerabilità ha origine nel […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.