Un nuovo attacco informatico sta sfruttando una vulnerabilità nota del server Apache HTTP per installare un miner di criptovalute chiamato Linuxsys. La falla in questione, identificata come CVE-2021-41773, è una vulnerabilità di path traversal di gravità elevata che colpisce la versione 2.4.49 di Apache HTTP Server e può consentire l’esecuzione di codice da remoto. Gli attaccanti utilizzano siti web legittimi compromessi per distribuire il malware, rendendo la rilevazione molto più difficile e facilitando la diffusione.

Catena di infezione

La catena di infezione, recentemente individuata e originata da un indirizzo IP indonesiano, prevede il download di uno shell script da “repositorylinux.org” tramite strumenti come curl o wget. Questo script si occupa di scaricare il miner Linuxsys da cinque diversi siti web legittimi, suggerendo che l’infrastruttura di terze parti sia stata compromessa per agevolare la distribuzione del malware. L’uso di siti affidabili e certificati SSL validi rende l’attacco particolarmente insidioso, poiché riduce la probabilità che venga intercettato dai sistemi di sicurezza.

Presenza di altri componenti malevoli

Oltre al miner, su questi siti è stato rilevato uno script chiamato “cron.sh” che garantisce l’esecuzione automatica del miner dopo ogni riavvio del sistema. Inoltre, sono stati individuati anche eseguibili per Windows, indicando che il gruppo criminale potrebbe puntare anche ai sistemi desktop Microsoft. Attacchi precedenti per diffondere Linuxsys hanno sfruttato altre vulnerabilità critiche, tra cui falle in GeoServer, Atlassian Confluence, Chamilo LMS, Metabase e firewall Palo Alto Networks.

Strategie e tecniche degli attaccanti

Gli esperti affermano che la campagna in corso mostra una strategia a lungo termine basata su tecniche consolidate: sfruttamento di vulnerabilità n-day, staging di contenuti malevoli su host compromessi e mining di criptovalute sui sistemi delle vittime. Gli attaccanti evitano i “low interaction honeypot” e prediligono ambienti reali, aumentando la loro capacità di operare senza essere scoperti.

Sovrapposizione con altre minacce

Parallelamente, è stata riscontrata una sovrapposizione operativa tra il botnet H2Miner, che usa il trojan Kinsing per installare miner XMRig, e una variante ransomware chiamata Lcrypt0rx. Quest’ultima si distingue per le sue azioni di sabotaggio e per la mancanza di un reale sistema di gestione delle chiavi di cifratura, suggerendo che il suo scopo sia più intimidatorio che realmente estorsivo. La presenza di strumenti automatizzati e codice generato tramite intelligenza artificiale evidenzia come il cybercrime sia sempre più accessibile anche a cyber criminali poco esperti.