La botnet Bitxor20 abusa della vulnerabilità di Log4J

La vulnerabilità di Log4J ha consentito a dozzine di criminali informatici di espandere rapidamente la loro portata e di amplificare l'efficienza dei loro attacchi. Una delle famiglie di malware che finora è sfuggita al radar è stata la Bitxor20 Botnet. Questo malware è compatibile con i dispositivi che utilizzano l'architettura ARM Linux. I criminali dietro la botnet Bitxor20 potrebbero essere attivi da quasi due mesi e durante questo periodo il loro carico utile ha subito numerosi miglioramenti.

Cosa può fare la botnet Bitxor20?

La botnet è specializzata nell'esfiltrazione di dati sensibili dai sistemi infetti, nell'implementazione di rootkit e nella trasformazione delle reti infette in server proxy. La funzionalità del rootkit è sicuramente un approccio interessante poiché renderebbe la scoperta e la rimozione della botnet Bitxor20 molto più impegnativa. Inoltre, non ci sono molti rootkit compatibili con i sistemi Linux.

Un altro vantaggio interessante della botnet Bitxor20 è la sua capacità di trasferire dati tra la vittima e il server Command-and-Control tramite il protocollo DNS. Sebbene ciò limiti la quantità di informazioni che può trasferire, consente ai criminali di nascondere facilmente il traffico dannoso con uno legittimo. Inoltre, i servizi firewall tendono ad essere molto più rilassati quando si tratta di filtrare le richieste DNS, offrendo a Bitxor20 Botnet un vantaggio quando si tratta di aggirare le difese del firewall.

Mentre la maggior parte delle botnet che sfruttano la vulnerabilità Log4J sono specializzate in attacchi Distributed-Denial-of-Service (DDoS) o mining di criptovalute, la botnet Bitxor20 punta altrove. Inutile dire che è una minaccia eccezionalmente pericolosa che dovrebbe essere fermata ad ogni costo. L'utilizzo di strumenti di sicurezza e firewall Linux aggiornati, nonché l'applicazione degli ultimi aggiornamenti firmware e patch software è un ottimo modo per mitigare attacchi di malware di questo tipo.