Un tout nouveau malware Linux (s’ouvre dans un nouvel onglet) souche capable de différents types de méchants a été détectée, capable d’abuser des services cloud légitimes pour rester caché à la vue de tous.
Des chercheurs en cybersécurité d’AT&T Alien Labs ont récemment découvert (s’ouvre dans un nouvel onglet) le malware et l’a nommé Shikitega. Il est livré avec un super petit compte-gouttes (376 octets), utilisant un encodeur polymorphe qui supprime progressivement la charge utile. Cela signifie que le logiciel malveillant téléchargera et exécutera un module à la fois, en s’assurant qu’il reste caché et persistant.
Le serveur de commande et de contrôle (C2) du logiciel malveillant est hébergé sur un « service d’hébergement connu », ce qui le rend plus furtif, a-t-on dit.
Abuser de PwnKit
Les chercheurs ne sont pas absolument certains de ce que les auteurs du malware essayaient de réaliser.
Shikitega est assez puissant, car il peut fonctionner sur tous les types de Linux (s’ouvre dans un nouvel onglet) périphériques et permet aux pirates de contrôler la webcam sur le terminal cible (s’ouvre dans un nouvel onglet), ainsi que voler des informations d’identification. D’autre part, il est également capable d’exécuter XMRig, un cryptojacker connu qui exploite la crypto-monnaie Monero pour les attaquants. On ne peut que supposer que le XMRig a été ajouté pour utiliser des appareils compromis qui n’ont pas de données sensibles à voler.
Le logiciel malveillant s’appuie sur deux vulnérabilités, toutes deux corrigées il y a des mois, pour compromettre les appareils et assurer la persistance. L’un est PwnKit (CVE-2021-4034), l’une des vulnérabilités les plus infâmes qui n’a pas été détectée pendant environ 12 ans, avant d’être finalement repérée et corrigée plus tôt cette année. L’autre est CVE-2021-3493, découverte et corrigée il y a plus d’un an (en avril 2021).
Bien qu’il existe un correctif pour ces deux trous, selon les chercheurs, de nombreux administrateurs informatiques ne les ont pas encore appliqués, en particulier en ce qui concerne les appareils de l’Internet des objets (IoT).
Les chercheurs ne savent pas encore qui en sont les auteurs et suggèrent à tous les administrateurs Linux de maintenir leurs logiciels à jour, d’installer un antivirus (s’ouvre dans un nouvel onglet) et/ou EDR sur tous les points de terminaison, et assurez-vous qu’ils sauvegardent leurs fichiers de serveur.
Par: Ars Technica (s’ouvre dans un nouvel onglet)