Une souche particulière de logiciels malveillants Linux a connu une croissance phénoménale au cours des six derniers mois, déclare Microsoft, exhortant les propriétaires d’appareils Linux à sécuriser leurs terminaux.
Le géant du logiciel de Redmond affirme que l’utilisation du logiciel malveillant XorDDoS au cours des six derniers mois a augmenté de 254 %. Alors que le cas d’utilisation principal de XorDDoS est, comme son nom l’indique, de créer un botnet de déni de service distribué (DDoS), il peut également être utilisé comme passerelle pour la distribution de charges utiles supplémentaires.
« Nous avons constaté que les appareils initialement infectés par XorDdos ont ensuite été infectés par d’autres logiciels malveillants tels que la porte dérobée Tsunami, qui déploie davantage le mineur de pièces XMRig », a déclaré Microsoft dans son annonce. « Bien que nous n’ayons pas observé XorDdos installer et distribuer directement des charges utiles secondaires comme Tsunami, il est possible que le cheval de Troie soit utilisé comme vecteur pour les activités de suivi. »
Techniques d’obscurcissement
XorDDoS, qui utilise le cryptage basé sur XOR pour communiquer avec ses serveurs C2, est une souche de logiciels malveillants relativement ancienne, qui existe depuis au moins 2014. Il doit sa longévité au fait qu’il réussit relativement bien à échapper à la détection par les solutions antivirus, et a tactiques de persévérance solides.
« Ses capacités d’évasion incluent l’obscurcissement des activités du logiciel malveillant, l’évitement des mécanismes de détection basés sur des règles et la recherche de fichiers malveillants basés sur le hachage, ainsi que l’utilisation de techniques anti-légales pour briser l’analyse basée sur l’arborescence des processus », a ajouté Microsoft.
« Nous avons observé lors de campagnes récentes que XorDdos cache les activités malveillantes de l’analyse en écrasant les fichiers sensibles avec un octet nul. »
L’architecture du point de terminaison n’est cependant pas un facteur éliminatoire, car le logiciel malveillant a été repéré en train d’infecter les appareils ARM (équipement Internet des objets), ainsi que les serveurs x64. Il compromet les personnes vulnérables via des attaques par force brute SSH.
Ces résultats sont conformes à un récent rapport de Crowdstrike, qui indique que les logiciels malveillants pour le système d’exploitation populaire ont augmenté de plus d’un tiers (35 %) en 2021, par rapport à l’année précédente.
Via : BleepingComputer