PUBLIC VISE : LINUX WINDOWS MALWARE
Les chercheurs ont découvert une nouvelle porte dérobée multi-plateforme infectant les systèmes Windows et Linux, permettant aux attaquants d'exécuter du code malveillant et des fichiers binaires sur les ordinateurs compromis.
Le malware appelé ACBackdoor est développé par un groupe de menaces expérimenté dans le développement d'outils malveillants pour la plate-forme Linux, basés sur la complexité accrue de la variante Linux, comme l'a découvert Ignacio Sanmillan, chercheur en sécurité chez Intezer.
"ACBackdoor permet l'exécution arbitraire de commandes shell, l'exécution binaire arbitraire, la persistance et les capacités de mise à jour", a constaté le chercheur Intezer.Vecteurs d'infection et logiciels malveillants portés
Les deux variantes partagent le même serveur de commande et de contrôle (C2), mais les vecteurs d’infection qu’elles utilisent pour infecter leurs victimes sont différentes: la version Windows est soumise à une publicité erronée à l’aide du kit d’exploitation Fallout, tandis que la charge Linux est lâchée système de livraison inconnu.
La dernière version de ce kit d’exploitation, analysée par le chercheur nao_sec en septembre, cible les vulnérabilités CVE-2018-15982 (Flash Player) et CVE-2018-8174 (Moteur VBScript de Microsoft Internet Explorer) afin d’infecter les visiteurs des sites contrôlés par des attaquants. logiciels malveillants.
Heureusement, "la variante Windows de ce malware ne représente pas une menace complexe en termes de malware Windows", explique Sanmillan .
La version Windows d'ACBackdoor semble également provenir de Linux, car le chercheur a découvert qu'ils partageaient plusieurs chaînes spécifiques à Linux, telles que des chemins appartenant à un système de fichiers Linux ou à des noms de processus de threads du noyau.
En plus d'infecter les victimes via un vecteur inconnu, le binaire malveillant de Linux est détecté par l'un des moteurs d'analyse anti-programme malveillant de VirusTotal au moment de la publication de cet article, tandis que celui de Windows est détecté par 37 moteurs.
Le binaire Linux est également plus complexe et comporte des fonctionnalités malveillantes supplémentaires, même s'il partage un flux de contrôle et une logique similaires avec la version Windows.
"L'implant Linux a visiblement été écrit mieux que l'implant Windows, soulignant l'implémentation du mécanisme de persistance ainsi que les différentes commandes de porte dérobée et les fonctionnalités supplémentaires non visibles dans la version Windows, telles que la création de processus indépendants et le renommage de processus", indique le rapport.
Capacités malveillantes de porte dérobée
Après avoir infecté l'ordinateur de la victime, le logiciel malveillant commencera à collecter des informations système, notamment son architecture et son adresse MAC, à l'aide d'outils spécifiques à la plate-forme, avec les fonctions Windows de l'API Windows et le programme Uname UNIX généralement utilisé pour imprimer les informations système.
Une fois les tâches de collecte d’informations terminées, ACBackdoor ajoutera une entrée de registre sous Windows et créera plusieurs liens symboliques ainsi qu’un script initrd sous Linux pour gagner en persistance et se lancer automatiquement au démarrage du système.
La porte dérobée tentera également de se camoufler en tant que processus MsMpEng.exe, l'utilitaire antimalware et antispyware de Microsoft Defender, tandis que, sous Linux, il se déguisera en utilitaire Ubuntu UpdateNotifier et renommera son processus en [kworker / u8: 7-ev]. , un fil du noyau Linux.
Pour communiquer avec son serveur C2, les deux variantes de programmes malveillants utilisent HTTPS (Hypertext Transfer Protocol Secure) comme canal de communication, toutes les informations collectées étant envoyées sous forme de données utiles codées en BASE64.
ACBackdoor peut recevoir les commandes info, exécuter, exécuter et mettre à jour du serveur C2, ce qui permet à ses opérateurs d’exécuter des commandes shell, d’exécuter un fichier binaire et de mettre à jour le programme malveillant sur le système infecté.
«Comme aucune information attribuable n’est documentée sur cette porte dérobée, il est possible que certains groupes de menaces connus basés sur Linux mettent à jour leur ensemble d’outils», conclut Sanmillan.
Source :bleepingcomputer
---***---
Commenter cet article