Contrairement à l'écosystème de cybersécurité de Windows, les menaces concernant les systèmes Linux ne sont pas souvent discutées en détail. Soit les attaques ne sont pas détectées par les mécanismes de sécurité mis en place par les entreprises, soit elles ne sont pas trop graves pour être largement rapportées par les chercheurs en sécurité.
Cependant, comme l'a fait remarquer la société Intezer, des logiciels malveillants dotés de techniques de contournements sophistiquées, qui utilisent souvent le code source ouvert déjà disponible, apparaissent à l'horizon de temps à autre. HiddenWasp est l'un de ces logiciels malveillants récemment découverts par la société. Ce qui rend HiddenWasp assez dangereux en ce moment est le fait qu'il a un taux de détection nul dans tous les systèmes populaires de protection contre les logiciels malveillants.
Comment HiddenWasp attaque les machines Linux ?
La première étape du malware HiddenWasp Linux implique l'exécution du script initial pour le déploiement du malware. Le script caché utilise un utilisateur nommé 'sftp' avec un mot de passe en dur et nettoie le système pour éradiquer les anciennes versions de malware au cas où la machine serait déjà infectée.
De plus, il télécharge un fichier d'archive à partir du serveur qui contient tous les composants - y compris le rootkit et le cheval de Troie. Le script tente également d'ajouter le code binaire du trojan au fichier /etc/rc.local pour fonctionner même après un redémarrage.
Le rootkit impliqué dans le malware présente de nombreuses similitudes avec le rootkit open source Azazel. Il partage également des parties de chaînes de caractères avec ChinaZ malware, Adore-ng rootkit, et Mirai malware. En parlant des capacités de ce malware Linux furtif, il peut exécuter des commandes sur le terminal, exécuter des fichiers, télécharger plus de scripts, etc.
Cependant, les chercheurs en sécurité ne connaissent toujours pas le vecteur d'infection réel ; ils soupçonnent que le malware s'est propagé dans des systèmes déjà contrôlés par les pirates. Ainsi, on pourrait dire que HiddenWasp est utilisé comme charge virale secondaire.
Si vous souhaitez en savoir plus sur les logiciels malveillants HiddenWasp Linux, n'hésitez pas à lire l'analyse technique de ces derniers sur le blog d'Intezer.
Par : Adarsh Verma -
sauce :
https://fossbytes.com/linux-systems-hiddenwasp-malware-trojan/