Un nouveau Linux (s’ouvre dans un nouvel onglet) des logiciels malveillants ont été découverts et sont capables d’éviter la détection par des programmes antivirus, volent des données sensibles à partir de terminaux compromis (s’ouvre dans un nouvel onglet) et infecte tous les processus en cours d’exécution sur un appareil.
Les chercheurs en cybersécurité d’Intezer Labs disent que le malware (s’ouvre dans un nouvel onglet)baptisé OrBit, modifie la variable d’environnement LD_PRELOAD, lui permettant de détourner des bibliothèques partagées et, par conséquent, d’intercepter des appels de fonction.
« Le malware met en œuvre des techniques d’évasion avancées et gagne en persistance sur la machine en accrochant des fonctions clés, fournit aux acteurs de la menace des capacités d’accès à distance via SSH, récolte les informations d’identification et enregistre les commandes TTY », a expliqué Nicole Fishbein, chercheuse chez Intezer Labs.
Cachant à la vue
« Une fois le logiciel malveillant installé, il infectera tous les processus en cours d’exécution, y compris les nouveaux processus, qui s’exécutent sur la machine. »
Jusqu’à récemment, la plupart des solutions antivirus ne considéraient pas le compte-gouttes OrBit, ou la charge utile, comme malveillant, ont déclaré les chercheurs, mais ont ajouté que désormais, certains fournisseurs de services anti-malware identifient OrBit comme malveillant.
« Ce malware vole des informations de différentes commandes et utilitaires et les stocke dans des fichiers spécifiques sur la machine. En outre, il existe une utilisation intensive des fichiers pour stocker des données, quelque chose qui n’a jamais été vu auparavant », a conclu Fishbein.
« Ce qui rend ce malware particulièrement intéressant, c’est l’accrochage presque hermétique des bibliothèques sur la machine victime, qui permet au malware de gagner en persistance et d’échapper à la détection tout en volant des informations et en définissant une porte dérobée SSH. »
Les acteurs de la menace ont été très actifs sur la plate-forme Linux ces derniers temps, a découvert BleepingComputer. Outre OrBit, le malware Symbiote récemment découvert utilise également la directive LD_PRELOAD pour se charger dans les processus en cours d’exécution. Il agit comme un parasite à l’échelle du système, affirme la publication, ajoutant qu’il ne laisse aucun signe d’infection.
BPFDoor est également une souche de malware similaire. Il cible les systèmes Linux et se cache en utilisant les noms des démons Linux courants. Cela l’a aidé à rester sous les radars antivirus pendant cinq ans.
Outre ces deux, il existe également Syslogk, capable à la fois de charger et de masquer des programmes malveillants. Comme l’ont révélé les chercheurs en cybersécurité d’Avast, le malware rootkit est basé sur un ancien rootkit open source appelé Adore-Ng. Il est également à un stade relativement précoce de développement (actif), il reste donc à voir s’il évolue ou non en une menace à part entière.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)