Un nouveau rootkit affectant Linux (s’ouvre dans un nouvel onglet) systems a été découvert capable à la fois de charger et de masquer des programmes malveillants.
Comme l’ont révélé les chercheurs en cybersécurité d’Avast, le malware rootkit (s’ouvre dans un nouvel onglet)appelé Syslogk, est basé sur un ancien rootkit open source appelé Adore-Ng.
Il est également à un stade relativement précoce de développement (actif), il reste donc à voir s’il évolue ou non en une menace à part entière.
Lorsque le Syslogk se charge, il supprime d’abord son entrée de la liste des modules installés, ce qui signifie que la seule façon de le repérer est via une interface exposée dans le système de fichiers /proc. En plus de se cacher de l’inspection manuelle, il est également capable de masquer les répertoires qui hébergent les logiciels malveillants déposés, de masquer les processus ainsi que le trafic réseau.
Mais peut-être le plus important – il peut démarrer ou arrêter à distance les charges utiles.
Entrez Rekoobe
L’une de ces charges utiles qui a été découverte par les chercheurs d’Avast s’appelle ELF:Rekoob, ou plus largement connue sous le nom de Rekoobe. Ce malware est un cheval de Troie de porte dérobée écrit en C. Syslogk peut le déposer sur le terminal compromis. (s’ouvre dans un nouvel onglet), puis laissez-le en sommeil jusqu’à ce qu’il reçoive un « paquet magique » des opérateurs du logiciel malveillant. La poche magique peut à la fois démarrer et arrêter le malware.
« Nous avons observé que le rootkit Syslogk (et la charge utile Rekoobe) s’alignent parfaitement lorsqu’ils sont utilisés secrètement en conjonction avec un faux serveur SMTP », a expliqué Avast dans un article de blog. « Considérez à quel point cela pourrait être furtif ; une porte dérobée qui ne se charge pas tant que certains paquets magiques ne sont pas envoyés à la machine. Interrogé, il semble être un service légitime caché dans la mémoire, caché sur le disque, exécuté à distance « magiquement », caché sur le réseau. Même s’il est trouvé lors d’une analyse de port réseau, il semble toujours être un serveur SMTP légitime.
Rekoobe lui-même est basé sur TinyShell, BipOrdinateur explique, qui est également open-source et largement disponible. Il est utilisé pour exécuter des commandes, ce qui signifie que c’est là que les dégâts sont causés – les pirates utilisent Rekoobe pour voler des fichiers, exfiltrer des informations sensibles, prendre le contrôle de comptes, etc.
Le logiciel malveillant est également plus facile à détecter à ce stade, ce qui signifie que les escrocs doivent redoubler de prudence lors du déploiement et de l’exécution de la deuxième étape de leur attaque.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)