La più recente botnet individuata da Kaspersky è gestita tramite un malware in grado di girare su Windows, Mac OS e pure Linux, un software malevolo multipiattaforma scritto in Java usato da ignoti per condurre attacchi mirati contro siti e portali web.
HEUR:Backdoor.Java.Agent.a , questo l’identificativo usato dalla security enterprise russa per classificare il malware, è progettato per sfruttare una vulnerabilità critica già nota a Oracle (CVE-2013-2465) e chiusa con gli aggiornamenti distribuiti per Java lo scorso giugno.
Il fatto non ha ad ogni modo impedito ai cyber-criminali di realizzare il malware, integrandolo con il client di comunicazione su rete IRC PircBot (naturalmente in Java) e dotandolo della capacità di caricarsi a ogni riavvio della macchina infetta su tutti e tre i sistemi operativi presi di mira.
Un bot multi-piattaforma rappresenta in sostanza il “Sacro Graal” dei codici malevoli, e nel caso specifico Java.Agent.a ha il compito di ricevere istruzioni dai cyber-criminali (tramite canale nascosto su IRC) per condurre attacchi DDoS usando pacchetti di dati su protocollo HTTP o UDP.
Il nuovo malware Java fa inoltre uso di algoritmi di offuscamento del codice per rallentare il lavoro degli analisti delle società di antivirus, spiega Kaspersky, mentre per quanto riguarda la diffusione del bot non vengono forniti particolari di rilievo – segno del fatto che si tratta di una botnet non particolarmente popolata.
Alfonso Maruccia