Une nouvelle souche malveillante de logiciels malveillants vole des données sur des appareils Linux

Une nouvelle souche malveillante de logiciels malveillants vole des données sur des appareils Linux

Un nouveau logiciel malveillant Linux a été découvert (ouvre dans un nouvel onglet) qui peut échapper à la détection par les programmes antivirus, voler des données sensibles à partir de terminaux compromis (ouvre dans un nouvel onglet) et infecter tous les processus en cours d'exécution sur un appareil.

Les chercheurs en cybersécurité d'Intezer Labs affirment que le malware (s'ouvre dans un nouvel onglet), nommé OrBit, modifie la variable d'environnement LD_PRELOAD, lui permettant de détourner des bibliothèques partagées et ainsi d'intercepter des appels de fonction.

"Le malware déploie des techniques d'évasion avancées et gagne en persistance sur la machine en se connectant à des fonctions clés, en fournissant aux acteurs malveillants des capacités d'accès à distance via SSH, en récoltant les informations d'identification et en enregistrant les commandes TTY", a expliqué Nicole Fishbein, chercheuse chez Intezer Labs.

Caché à la vue

"Une fois le malware installé, il infectera tous les processus en cours d'exécution, y compris les nouveaux processus, exécutés sur la machine."

Jusqu'à récemment, la plupart des solutions antivirus ne considéraient pas le compte-gouttes ou la charge utile d'OrBit comme malveillant, ont déclaré les chercheurs, mais ils ont ajouté que certains fournisseurs de services antimalware identifient désormais OrBit comme malveillant.

« Ce malware vole des informations de différentes commandes et utilitaires et les stocke dans des fichiers spécifiques sur la machine. En outre, les fichiers sont largement utilisés pour stocker des données, ce qui n'a jamais été vu auparavant », a déclaré Fishbein.

"Ce qui rend ce malware particulièrement intéressant est le lien presque hermétique entre les bibliothèques et la machine de la victime, ce qui permet au malware de gagner en persistance et d'échapper à la détection tout en volant des informations et en mettant en place une porte dérobée SSH."

Les acteurs de la menace ont été très actifs sur la plate-forme Linux ces derniers temps, a découvert BleepingComputer. En plus d'OrBit, le malware Symbiote récemment découvert utilise également la directive LD_PRELOAD pour charger les processus en cours d'exécution. Il agit comme un parasite à l'échelle du système, affirme le post, ajoutant qu'il ne laisse aucun signe d'infection.

BPFDoor est également une souche de malware similaire. Il cible les systèmes Linux et se cache en utilisant les noms des démons Linux courants. Cela a permis de le garder sous le radar antivirus pendant cinq ans.

En plus de ces deux, il y a aussi Syslogk, qui est capable de télécharger et de cacher des logiciels malveillants. Comme l'ont révélé les chercheurs en cybersécurité d'Avast, le malware rootkit est basé sur un ancien rootkit open source appelé Adore-Ng. Il est également à un stade de développement relativement précoce (actif), il reste donc à voir s'il devient ou non une menace à part entière.

Via : BleepingComputer (Ouvre dans un nouvel onglet)