Aggiornamenti recenti Febbraio 5th, 2026 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Shadow Campaign: la nuova ondata di cyber-spionaggio globale
- NTLM verso lo “switch-off”: Microsoft si prepara a bloccarlo di default
- Abusato il sistema di update eScan per inviare malware multistage
- Hugging Face sfruttato per distribuire un trojan Android
- OpenSSL ha fixato 12 vulnerabilità scoperte da AISLE
SpeakUp: il trojan per Linux ha cominciato a diffondersi in Cina
Il malware è comparso lo scorso 14 gennaio. Gli esperti: “Per ora si diffonde in Asia e Sudamerica, ma potrebbero essere solo l’inizio”.
Una leggenda metropolitana piuttosto diffusa sostiene che a preoccuparsi dei malware dovrebbero essere solo gli utenti Windows, storicamente bersagliati con maggiore frequenza dai pirati informatici.
A sconfessare questa credenza ci sta pensando (tra gli altri) un nuovo trojan che prende di mira eslcusivamente i sistemi Linux e macOS. Si chiama SpeakUp ed è stato individuato per la prima volta da Check Point a metà di gennaio.
Il trojan, che sfrutta una vulnerabilità (CVE-2018-20062) nel framework ThinkPHP, carica una shell PHP per installare una backdoor sul sistema. Come si legge nel report di Check Point, la piattaforma è di origine cinese ed è utilizzata principalmente in Asia. Stando ai dati della società di sicurezza, però, il trojan si sta diffondendo anche il America Latina.
I pirati informatici, però, non si sono limitati a sfruttare la falla di sicurezza di ThinkPHP, ma hanno dotato il loro malware di un arsenale di exploit “secondari” che SpeakUp usa per diffondersi sulle macchine collegate nella rete locale.
I ricercatori ne hanno individuate sei.
- a) CVE-2012-0874: JBoss Enterprise Application Platform Multiple Security Bypass Vulnerabilities
- b) CVE-2010-1871: JBoss Seam Framework remote code execution
- c) JBoss AS 3/4/5/6: Remote Command Execution (exploit)
- d) CVE-2017-10271: Oracle WebLogic wls-wsat Component Deserialization RCE
- e) CVE-2018-2894: Vulnerability in the Oracle WebLogic Server component of Oracle Fusion Middleware.
- f) Hadoop YARN ResourceManager – Command Execution (exploit)
- g) CVE-2016-3088: Apache ActiveMQ Fileserver File Upload Remote Code Execution Vulnerability.
SpeakUp ha tutte le funzionalità che ci si può aspettare da un trojan modulare, tra cui la possibilità di scaricare e installare ulteriori componenti.
Oltre a questi exploit, SpeakUp utilizza un modulo di brute forcing che utilizza un elenco di credenziali standard per cercare di violare le macchine raggiungibili in rete.
A renderlo particolarmente insidioso è il fatto che la maggior parte dei motori antivirus (ma la verifica su Virus Total fatta dai ricercatori risale allo scorso 9 gennaio) non lo identifica come un file pericoloso.
Per il momento il gruppo di cyber-criminali che sta utilizzando il trojan sembra essere interessato principalmente a sfruttare le macchine infette per generare cripto-valuta attraverso dei miner installati sui server.
Un modus operandi abbastanza comune tra i pirati informatici che prendono di mira i sistemi Linux, di solito installati su server con una discreta potenza di calcolo e che sono particolarmente appetibili per il mining.
Secondo i ricercatori, i miner installati per il momento avrebbero generato circa 107 Monero, per un valore di 4.500 dollari.
Il timore, però, è che gli autori di SpeakUp possano modificare l’exploit principale allargando così la platea delle potenziali vittime.
Condividi l'articolo
Con la fattura elettronica esplode il rischio di attacchi tramite PEC
Ricattati da Siri? Con i Comandi Rapidi può succedere
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of... -
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,... -
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026... -
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Shadow Campaign: la nuova ondata di cyber-spionaggio Secondo Palo Alto Networks, un gruppo di cyber-spionaggio... -
NTLM verso lo “switch-off”: Microsoft si prepara a... Microsoft ha comunicato che l’autenticazione NTLM verrà... -
Abusato il sistema di update eScan per inviare malware... Gli attacchi alla supply chain continuano a mietere vittime... -
Hugging Face sfruttato per distribuire un trojan Android I ricercatori di BitDefender hanno scoperto una campagna... -
OpenSSL ha fixato 12 vulnerabilità scoperte da AISLE Pochi giorni fa OpenSSL ha rilasciato alcune patch per...
Ransomware: la serie
No posts found.