I ricercatori di Deep Instinct hanno individuato una nuova variante di BFPDoor che può rimanere nascosta più a lungo perché sfrutta varie tecniche per evitare la rilevazione da parte delle soluzioni di sicurezza. La backdoor per Linux consente ai cybercriminali di mantenere la persistenza su sistemi compromessi.
BPFDoor: versione più invisibile
BPFDoor è una backdoor che circola da alcuni anni. Il nome deriva dal Berkley Packet Filter (BPF) che permette di ricevere istruzioni e aggirare i filtri del firewall sul traffico in entrata. Rispetto alla prima variante sono stati apportati diversi miglioramenti.
La variante 2023 utilizza una libreria crittografica statica (invece della crittografia RC4) e una comunicazione tramite reverse shell (invece di bind shell e iptables). Inoltre non c’è nessun comando hardcoded, ma sono inviati dal server C2 (command and control). Queste modifiche consentono di nascondere la backdoor alle soluzioni di sicurezza, stabilire una connessione remota anche in presenza di firewall e supportare un numero maggiore di comandi.
I ricercatori di Deep Instinct hanno descritto in dettaglio il funzionamento del malware. Fino a pochi giorni fa, nessun antivirus rilevava BPFDoor. Fortunatamente la situazione è migliorata, in quanto oggi viene rilevata da 29 antivirus. Il consiglio è quindi installare una soluzione di sicurezza aggiornata per bloccare questa pericolosa backdoor per Linux.