Sebbene la maggior parte della gente non conosca il nome “Lazarus Group”, molti avranno avuto a che fare con le imprese dei suoi membri, o perlomeno ne avranno sentito parlare.

Si tratta infatti degli hacker nordcoreani, sostenuto dal governo di quel Paese, che hanno creato il ransomware WannaCry, che nel 2017 scatenò il caos in tutto il mondo informatico, infettando oltre 300.000 computer con Windows.

Oggi il Lazarus Group torna al centro dell’attenzione perché ha appena rilasciato un nuovo malware, un RAT (Remote Access Trojan) chiamato Dacls scritto per infettare non solo i computer con Windows, ma anche quelli con Linux.

Sebbene in generale i malware per Linux non siano una rarità, per gli hacker di Lazarus si tratta di una novità: finora avevano preso di mira Windows e macOS, ma avevano lasciato in pace il sistema del pinguino.

La scoperta dell’esistenza di Dacls si deve agli analisti di Netlab, che hanno pubblicato un’analisi accurata del malware e per primi hanno stabilito il legame con il Lazarus Group.

Come tutti i malware del suo tipo, Dacls mira a consegnare ai suoi creatori il controllo dei computer infetti. È realizzato in maniera modulare e supporta diversi sistemi di cifratura per comunicare con chi lo controlla.

Dacls «riceve ed esegue comandi, scarica dati aggiuntivi dal server di controllo, esegue dei test sulla connettività della rete, effettua una scansione di rete sulla porta 8291 e altro ancora» spiegano gli esperti.

Poco chiaro è il motivo per cui venga presa in considerazione proprio la porta 8291, anche se Netlab ha un’ipotesi: «sappiamo che il protocollo Winbox del dispositivo MikroTik Router lavora sulla porta TCP/8291, ed essa è accessibile da Internet».

Netlab consiglia agli utenti – e in particolar modo ai responsabili IT aziendali – di bloccare gli indirizzi IP, i domini e gli URL legati a Dacls, che sono noti grazie all’analisi del malware e pubblicati sulla pagina del rapporto.

Gli utenti domestici faranno bene a essere dotati di un programma antivirus/antimalware aggiornato, anche se usano Linux e magari fino a oggi pensavano di essere immuni: anche se per ora sembra puntare specifiche configurazioni e certi bug in programmi open source per diffondersi, Dacls dimostra che nessuno è al sicuro.