I ricercatori della sicurezza informatica stanno avvertiti dei rischi continui posti da un malware di negazione del servizio distribuito (DDoS) noto come noto come Xorddoscon il 71,3 per cento degli attacchi tra novembre 2023 e febbraio 2025 contro gli Stati Uniti.
“Dal 2020 al 2023, il Xorddos Trojan è aumentato in modo significativo nella prevalenza”, il ricercatore di Cisco Talos Joey Chen disse in un’analisi di giovedì.
“Questa tendenza non è solo dovuta alla diffusa distribuzione globale dell’infanzia Xorddos, ma anche a un aumento delle richieste DNS dannose legate all’infrastruttura di comando e controllo (C2).
Quasi il 42 percento dei dispositivi compromessi si trova negli Stati Uniti, seguito da Giappone, Canada, Danimarca, Italia, Marocco e Cina.
Xorddos è un noto malware che ha una monitor file di sorprendenti sistemi Linux per oltre un decennio. Nel maggio 2022, Microsoft riportato Un aumento significativo dell’attività di Xorddos, con le infezioni che apre la strada al malware di estrazione della criptovaluta come lo tsunami.
Il percorso di accesso iniziale primario prevede che la conduzione di attacchi di forza bruto Shell Safe (SSH) per ottenere credenziali SSH valide e quindi scaricano e installano il malware su IoT vulnerabili e altri dispositivi connessi a Web.
Dopo aver stabilito con successo un punto d’appoggio, il malware imposta la persistenza utilizzando uno script di inizializzazione incorporato e un lavoro cron in modo che si lancia automaticamente all’avvio del sistema. Utilizza inoltre la chiave XOR “BB2FA36AAA9541F0” per decrittografare una configurazione presente al suo interno per estrarre gli indirizzi IP necessari per la comunicazione C2.
Talos ha detto di aver osservato nel 2024 una nuova versione del sub-controller Xorddos, chiamata Versione VIPe il suo corrispondente controller centrale, insieme a un costruttore, indicando che il prodotto è probabilmente pubblicizzato per la vendita.
Il controller centrale è responsabile della gestione di più sub-controller Xorddos e dell’invio di comandi DDOS contemporaneamente. Ognuno di questi sub-controller, a sua volta, ha comandato una botnet di dispositivi infetti.
“Le impostazioni linguistiche del controller multistrato, del costruttore Xorddos e dello strumento di legame controller suggeriscono fortemente che gli operatori sono individui di lingua cinese”, ha detto Chen.
