Un nouveau rapport a mis en évidence le fait que certains pirates ne sont pas intéressés par l'installation de logiciels malveillants ou de virus sur les appareils ciblés, mais s'efforcent plutôt d'apporter tout leur ensemble d'outils sur l'appareil de la victime, ce qui les aiderait à choisir le meilleur outil malveillant pour chacun. . individuel. cibler.
Les recherches de Sysdig, qui appellent la méthode « Bring Your Own Filesystem » ou BYOF, ont révélé que la méthode fonctionnait jusqu'à présent sur les appareils Linux, grâce à un utilitaire vulnérable appelé PRoot.
Selon Sysdig, les acteurs de la menace créeraient un système de fichiers malveillant complet sur leurs propres appareils, puis le téléchargeraient et le monteraient sur le terminal compromis. De cette façon, ils obtiennent un ensemble d'outils préconfigurés qui les aident à compromettre davantage les systèmes Linux.
Installation de cryptojackers
"Tout d'abord, les acteurs malveillants créent un système de fichiers malveillant à déployer. Ce système de fichiers malveillant comprend tout ce dont l'opération a besoin pour réussir", a déclaré Sysdig dans son rapport. "Faire cette préparation à ce stade précoce permet à tous les outils d'être téléchargés, configurés ou installés sur le propre système de l'attaquant, à l'abri des regards indiscrets des outils de détection."
Bien que la société de logiciels n'ait jusqu'à présent examiné que la méthode utilisée pour installer des mineurs de crypto-monnaie sur ces appareils, elle indique qu'il existe un potentiel d'attaques plus perturbatrices et plus dommageables.
PRoot est un outil utilitaire qui permet aux utilisateurs de créer des systèmes de fichiers racine isolés sous Linux. Bien que l'outil soit conçu pour que tous les processus s'exécutent dans le système de fichiers invité, il existe des moyens de mélanger les programmes hôtes et invités, qui sont exploités par les pirates. En outre, les programmes exécutés sur le système de fichiers invité peuvent utiliser le mécanisme de montage/liaison intégré pour accéder aux fichiers et répertoires sur le système hôte.
Apparemment, abuser de PRoot pour propager des logiciels malveillants est relativement facile, car l'outil est compilé de manière statique et ne nécessite aucune dépendance supplémentaire. Tout ce que les pirates ont à faire est de télécharger le binaire préemballé à partir de GitLab et de le monter sur le point de terminaison cible.
"Toutes les dépendances ou configurations sont également incluses dans le système de fichiers, de sorte que l'attaquant n'a pas besoin d'exécuter de commandes de configuration supplémentaires", explique Sysdig. "L'attaquant exécute PRoot, le pointe vers le système de fichiers malveillant décompressé et spécifie le binaire XMRig à exécuter."
Via : BleepingComputer (Ouvre dans un nouvel onglet)