Il malware infetta i PC Windows, Mac OS X, Linux utilizzando una vulnerabilità di Java in una patch rilasciata da Oracle

Era lo stesso periodo dell’anno scorso in cui Java ha affrontato uno dei periodi più critici della sua storia dalla sua nascita. I hacker avevano in quel momento utilizzato una vulnerabilità chiamata ‘Zero Day Exploit’ per hackerare software basati su Java. Questi exploit erano così potenti che comandavano un prezzo di $5000 per exploit nei siti web e forum sotterranei. Di conseguenza, Oracle ha rilasciato una serie di patch per correggere questa vulnerabilità. Tuttavia, una delle patch rilasciate da Oracle chiamata CVE-2013-2465, rilasciata a giugno 2013 per correggere la vulnerabilità critica, sembra avere a sua volta un exploit!!!

• *

• *

I ricercatori hanno scoperto che un malware botnet utilizza questo exploit per infettare computer che eseguono tutti i principali sistemi operativi Windows, Mac OS X e Linux, a condizione che abbiano installato e in esecuzione il framework software Java di Oracle. E poiché il framework Java è utilizzato quasi ovunque e da tutti, l’infezione è stata descritta come una grande minaccia. In secondo luogo, il malware in sé è una versione multipiattaforma che utilizza l’offuscatore Zelix Klassmaster per impedire che venga ingegnerizzato a ritroso da hacker whitehat e blackhat concorrenti. Il nome di questo malware è Heur:Backdoor.Java.Agent.a. Oltre a offuscare il bytecode, Zelix cripta alcuni dei meccanismi interni del malware rendendolo impossibile da rilevare, curare o ingegnerizzare a ritroso.

• *

Tutti i computer che hanno la versione Java 7 u21 e precedenti sono probabilmente infettati da questa botnet. Una volta che il bot ha infettato un computer, si copia nella directory di avvio automatico della sua piattaforma rispettiva per garantire che venga eseguito ogni volta che la macchina infetta viene avviata. Una volta avviato, il malware fa sì che i computer compromessi segnalino a un canale di chat Internet relay che funge da server di comando e controllo. I hacker possono quindi utilizzare questo canale IRC per controllare da remoto il computer hackerato/compromesso. Come detto sopra, a causa della sua caratteristica multipiattaforma, questo malware è definito doppiamente pericoloso.

• *

I hacker utilizzano questa botnet per condurre specificamente attacchi di D enial of Service (DDoS) distribuiti su obiettivi di loro scelta. Questo viene fatto dai hacker emettendo i comandi necessari tramite il canale IRC. Il canale IRC specificato consente ai hacker di specificare l’indirizzo IP, il numero di porta, l’intensità e la durata degli attacchi. Il malware è scritto interamente in Java, permettendo di funzionare su macchine Windows OS X e Linux. Per maggiore flessibilità e manovrabilità per i hacker, il bot è stato anche incorporato con PircBot, un’interfaccia di programmazione IRC basata su Java.

• *

Il funzionamento di questo malware botnet è progettato in modo tale che sia la vittima dell’attacco DDoS che l’attaccante (PC compromesso) non siano a conoscenza del vero criminale dietro l’attacco. Questo rende anche difficile per il webmaster, gli analisti di sicurezza e i white hacker impiegati dalla vittima monitorare i loro siti web e raggiungere la fonte del vero attaccante.