raspberrypi-3

Arriva il malware che mette KO il Raspberry Pi

La notizia arriva dalla Russia, dove l’azienda Mr. Web, esperta nello sviluppo di antivirus, ha comunicato che da questo maggio è attivo una nuova minaccia per le dev-board del lampone.

Il Linux.MulDrop.14 sfrutterebbe la porta SSH 22 per infettare il sistema e ciò appare evidente all’utente quando prova ad effettuare il Login con nome utente e password di default. Di fatto, si tratterebbe di un cryptocurrency-mining malware che cripta i dati presenti nel sistema al fine di estorcere denaro al malcapitato. Spiegando semplicemente come agisce, questo malware è uno script che contiene un applicativo che cripta e comprime i file, poi modifica la password di accesso e cerca di connettersi tramite il servizio SSH sfruttando la porta 22. L’infezione resterebbe comunque limitata ai soli dispositivi Raspberry Pi, in quanto al momento non pervengono casi simili su altri dispositivi.

È la stessa azienda russa a comunicarlo sul loro sito:

Linux Trojan that is a bash script containing a mining program, which is compressed with gzip and encrypted with base64. Once launched, the script shuts down several processes and installs libraries required for its operation. It also installs zmap and sshpass.

It changes the password of the user “pi” to “\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1”.

pi3

Non si tratterebbe del primo caso, anzi già a febbraio era stata rivelata un’infezione nota come Linux.ProxyM. Una volta lanciato, si connette al suo server di comando e controllo e, dopo aver ricevuto la conferma da questo, viene eseguito un server proxy SOCKS sul dispositivo infetto. I criminali informatici possono utilizzare questo malware per assicurarsi di rimanere anonimi. Nel grafico che vi mostriamo, è riportato il numero di attacchi del periodo da maggio a giugno 2017, periodo in cui il Linux.ProxyM è stato maggiormente attivo.

linuxtrojan

Questo tipo di attività che ha colpito i dispositivi Raspberry Pi appare un po’ anomala, in quanto è insolito vedere infettati sistemi Linux su processori ARM. Tuttavia, la praticità e la duttilità di questi dispositivi hanno favorito il loro largo utilizzo in diversi settori e non c’è da stupirsi se qualche malintenzionato vuole lucrarci disonestamente.

Commenti