Un nouveau rapport a mis en évidence que certains pirates ne sont pas intéressés par l’installation de logiciels malveillants ou de virus sur les terminaux cibles, mais s’efforcent plutôt d’apporter toute leur boîte à outils sur l’appareil de la victime, ce qui les aiderait ensuite à choisir le meilleur outil malveillant pour chaque individu. cible.
La recherche de Sysdig, qui appelle la méthode « Bring Your Own Filesystem », ou BYOF en abrégé, a révélé que jusqu’à présent, la méthode fonctionne sur les appareils Linux, grâce à un utilitaire vulnérable appelé PRoot.
Selon Sysdig, les acteurs de la menace créeraient un système de fichiers malveillant complet sur leurs propres appareils, puis le téléchargeraient et le monteraient sur le terminal compromis. De cette façon, ils obtiennent une boîte à outils préconfigurée qui les aide à compromettre encore plus les systèmes Linux.
Installation de cryptojackers
« Tout d’abord, les acteurs de la menace construisent un système de fichiers malveillant qui sera déployé. Ce système de fichiers malveillant comprend tout ce dont l’opération a besoin pour réussir », a déclaré Sysdig dans son rapport. « Faire cette préparation à ce stade précoce permet à tous les outils d’être téléchargés, configurés ou installés sur le propre système de l’attaquant loin des regards indiscrets des outils de détection. »
Bien que jusqu’à présent, la société de logiciels n’ait observé que la méthode utilisée pour installer des mineurs de crypto-monnaie sur ces appareils, elle indique qu’il existe un potentiel d’attaques plus perturbatrices et plus dommageables.
PRoot est un outil utilitaire qui permet aux utilisateurs de créer des systèmes de fichiers racine isolés sous Linux. Bien que l’outil soit conçu pour que tous les processus s’exécutent dans le système de fichiers invité, il existe des moyens de mélanger les programmes hôtes et invités, ce dont les pirates abusent. De plus, les programmes exécutés dans le système de fichiers invité peuvent utiliser le mécanisme de montage/liaison intégré pour accéder aux fichiers et répertoires du système hôte.
Apparemment, abuser de PRoot pour diffuser des logiciels malveillants est relativement facile, car l’outil est compilé de manière statique et ne nécessite pas de dépendances supplémentaires. Tout ce que les pirates ont à faire est de télécharger le binaire pré-combiné à partir de GitLab et de le monter sur le point de terminaison cible.
« Toutes les dépendances ou configurations sont également incluses dans le système de fichiers, de sorte que l’attaquant n’a pas besoin d’exécuter de commandes de configuration supplémentaires », explique Sysdig. « L’attaquant lance PRoot, le pointe vers le système de fichiers malveillant décompressé et spécifie le binaire XMRig à exécuter. »
Via : BleepingComputer (s’ouvre dans un nouvel onglet)