Trojanen SpeakUp öppnar en bakdörr på Linux och macOS. Via denna kan cyberkriminella installera skadlig kod och komma åt alla dina filer. Antivirusprogram kan inte upptäcka trojanen – och fler än 70 000 servrar är drabbade idag.
- Påverkar inte vanliga internetanvändare just idag
- Installerar script som bryter kryptovalutor på servern
- Kan användas till i princip vad som helst i framtiden
- Rapport: Facebook kan ha 1 miljard falska konton
SpeakUp är designad för att låta cyberkriminella fjärrstyra din dator och den trojan som finns installerad på den. Trojanen upptäcktes av säkerhetsföretaget Checkpoint och enligt deras rapport används flera sårbarheter i en rad olika Linux-distributioner och versioner av macOS.
Idag har fler än 70 000 servrar infekterats av trojanen. De första i Asien och Latinamerika, men spridningen är snabb och det finns fall i bland annat Indien också. Både i separata servrar och virtuella i Amazons AWS-moln.
Backdoor Trojan that’s exploiting a server technology that runs 90%+ of the top 1M domains in the U.S. It also presented the ability to infect Mac devices with the undetected backdoor. It’s currently gaining momentum and targeting servers (70,000+ worldwide) — first in East Asia and Latin America, including AWS hosted machines — and with this, the U.S. could be the next target.
Tillvägagångssättet när SpeakUp infekterar en server är identiskt varje gång:
- Först identifierar och utnyttjar den en sårbarhet som kallas CVE-2018-20062 (ThinkPHP Remote Code Execution).
- Därefter laddar den upp ett PHP-skal som öppnar en bakdörr i Perl.
- En bakdörr injiceras i datorn via Perl. Detta genom att köra ett specialdesignat script.
- Alla spår efter installationen av bakdörren raderas för att inte kunna upptäckas.
- En signal skickas till en styrserver om att en ny server infekterats. Bland annat med IP-adress och annan information om servern.
I skrivande stund är SpeakUp endast ett hot mot servrar. Den kod som installeras används primärt för att bryta kryptovalutor, och inte för att attackera vanliga internetanvändare.
Det är alltså inget hot mot dig just idag. Däremot kan det komma att ändras i framtiden.
En riktigt otäck detalj är att SpeakUp inte kan upptäcka trojanen. När säkerhetsforskare testade att köra koden för trojanen mot populära antivirussajten VirusTotal så identifierade inte ett enda antivirusprogram att koden var skadlig.
Nu när koden är upptäckt lär det inte dröja länge innan antivirusprogrammen skapar en signatur och kan själva hitta trojanen.