Ha impiegato molto tempo a manifestarsi il primo trojan per una distribuzione Gnu/Linux ma alla fine è arrivato.
Si tratta della classica e-mail che invita a scaricare una patch di sicurezza in grado di tappare una falla nel binario ls e in mkdir. Ma questa volta non è un sistema Microsoft ad essere il bersaglio del malicious code di turno ma bensì la nota distribuzione RedHat Linux.
L’e-mail, circolante da venerdì 22 ottobre, si maschera come un avviso inviato dal security team di RedHat e invita a scaricare una patch da un dominio del tipo “fedora-redhat.com”, che potrebbe ingannare un utente non molto avveduto.
Il messaggio, rigorosamente in inglese, è questo: “The Red Hat Security Team strongly advises you to immediately apply the fileutils-1.0.6 patch. This is a critical-critical update“.
Ovviamente il dominio fedora-redhat.com è stato registrato da ignoti per essere quanto più simile al vero sito http://fedora.redhat.com della popolare distribuzione Fedora, sponsorizzata da Redhat ma supportata dalla comunità di sviluppatori e includente solo software libero.
Da quanto si apprende dal weblog realizzato dalla società produttrice di antivirus F-Secure, una volta eseguita la falsa patch provvede all’installazione nel sistema di un rootkit
Volendo semplificare il rootkit (un tipo di malicious code nato per sistemi Unix) generalmente sostituisce degli eseguibili comunemente usati con delle versioni modificate agendo in maniera invisibile e permettendo a un utente malintenzionato di avere privilegi di root sul sistema vittima.
Una nota del security team di RedHat ha prontamente ribadito la falsità delle e-mail circolate nei giorni scorsi e ha ribadito come i messaggi riguardanti patch e avvisi di sicurezza provengano dall’indirizzo secalert@redhat.com e siano firmate digitalmente con GPG, la versione Gnu del noto software PGP.