Une nouvelle souche de malware Linux a été détectée, capable d'attaquer différents types de mauvais acteurs, capables d'abuser des services cloud légitimes pour rester cachés à la vue de tous.
Les chercheurs en cybersécurité d'AT&T Alien Labs ont récemment découvert le malware et l'ont nommé Shikitega. Il est livré avec un très petit compte-gouttes (376 octets), qui utilise un encodeur polymorphe qui élimine progressivement la charge utile. Cela signifie que le malware téléchargera et exécutera un module à la fois, garantissant ainsi qu'il reste caché et persistant.
Le serveur de commande et de contrôle (C2) du malware est hébergé sur un « service d'hébergement connu », ce qui le rend plus furtif, a-t-on déclaré.
Abus de PwnKit
Les chercheurs ne sont pas absolument sûrs de ce que les auteurs du malware essayaient de réaliser.
Shikitega est assez puissant car il peut fonctionner sur tous les types d'appareils Linux et permet aux acteurs malveillants de contrôler la webcam sur le point final cible ainsi que de voler les informations d'identification. D’un autre côté, il est également capable d’exécuter XMRig, un cryptojacker bien connu qui exploite la crypto-monnaie Monero pour les attaquants. On ne peut que supposer que XMRig a été ajouté pour utiliser des appareils compromis qui n'ont pas de données sensibles à voler.
Le malware s'appuie sur deux vulnérabilités, toutes deux corrigées il y a des mois, pour compromettre les appareils et assurer la persistance. L’une d’elles est PwnKit (CVE-2021-4034), l’une des vulnérabilités les plus tristement célèbres qui n’a pas été détectée pendant environ 12 ans, avant d’être finalement détectée et corrigée plus tôt cette année. L'autre est CVE-2021-3493, découvert et corrigé il y a plus d'un an (avril 2021).
Lee mas> Les systèmes de sécurité Linux ont une faille de sécurité assez dommageable
> Cette faille de sécurité majeure de Linux a été corrigée, alors corrigez-la maintenant
> Ce sont les meilleures distributions Linux pour les développeurs
Bien qu’il existe une solution à ces deux failles, affirment les chercheurs, de nombreux administrateurs informatiques ne les ont pas encore appliquées, notamment lorsqu’il s’agit d’appareils Internet des objets (IoT).
Les chercheurs ne savent toujours pas qui sont les auteurs et suggèrent à tous les administrateurs Linux de maintenir leurs logiciels à jour, d'installer un antivirus et/ou un EDR sur tous les points finaux et de veiller à sauvegarder les fichiers de leur serveur.
- Ce sont actuellement les meilleures distributions Linux pour les petites entreprises
Par: Ars Technica