HiddenWasp: un malware qui affecte les systèmes Linux

Guêpe cachée

Ça fait quelques jours Les chercheurs en sécurité ont découvert une nouvelle variété de malwares Linux Il semble avoir été créé par des pirates chinois et a été utilisé comme un moyen de contrôler à distance les systèmes infectés.

Appelé HiddenWasp, Ce malware se compose d'un rootkit en mode utilisateur, d'un cheval de Troie et d'un script de déploiement initial.

Contrairement à d'autres programmes malveillants qui s'exécutent sous Linux, le code et les preuves recueillies montrent que les ordinateurs infectés ont déjà été compromis par ces mêmes pirates.

L'exécution de HiddenWasp serait donc une étape avancée dans la chaîne de destruction de cette menace.

Bien que l'article dise que nous ne savons pas combien d'ordinateurs ont été infectés ni comment les étapes ci-dessus ont été effectuées, il faut noter que la plupart des programmes de type "Backdoor" sont installés en cliquant sur un objet. (lien, image ou fichier exécutable), sans que l'utilisateur se rende compte qu'il s'agit d'une menace.

L'ingénierie sociale, qui est une forme d'attaque utilisée par les chevaux de Troie pour inciter les victimes à installer des progiciels comme HiddenWasp sur leurs ordinateurs ou appareils mobiles, pourrait être la technique adoptée par ces attaquants pour atteindre leurs objectifs.

Dans sa stratégie d'évasion et de dissuasion, le kit utilise un script bash accompagné d'un fichier binaire. Selon les chercheurs d'Intezer, les fichiers téléchargés à partir de Total Virus ont un chemin qui contient le nom d'une société médico-légale basée en Chine.

À propos de HiddenWasp

Malware HiddenWasp est composé de trois composants dangereux, tels que Rootkit, Trojan et un script malveillant.

Les systèmes suivants fonctionnent dans le cadre de la menace.

  • Manipulation du système de fichiers local: Le moteur peut être utilisé pour télécharger toutes sortes de fichiers sur les hôtes de la victime ou pour détourner toutes les informations utilisateur, y compris les informations personnelles et système. Ceci est particulièrement préoccupant car il peut être utilisé pour conduire à des crimes tels que le vol financier et le vol d'identité.
  • Exécution de la commande: le moteur principal peut démarrer automatiquement toutes sortes de commandes, y compris celles avec des autorisations root, si un tel contournement de sécurité est inclus.
  • Livraison de charge utile supplémentaire: les infections créées peuvent être utilisées pour installer et lancer d'autres logiciels malveillants, y compris les ransomwares et les serveurs de crypto-monnaie.
  • Opérations cheval de Troie: Le malware HiddenWasp Linux peut être utilisé pour prendre le contrôle des ordinateurs affectés.

En outre, le malware serait hébergé sur les serveurs d'une société d'hébergement de serveurs physiques appelée Think Dream située à Hong Kong.

«Les logiciels malveillants Linux encore inconnus des autres plates-formes pourraient créer de nouveaux défis pour la communauté de la sécurité», a écrit Ignacio Sanmillan, chercheur chez Intezer dans son article.

"Le fait que ce programme malveillant parvienne à rester sous le radar devrait être un signal d'alarme pour que l'industrie de la sécurité consacre plus d'efforts ou de ressources pour détecter ces menaces", a-t-il déclaré.

D'autres experts ont également commenté la question, Tom Hegel, chercheur en sécurité chez AT&T Alien Labs:

«Il existe de nombreuses inconnues, car les éléments de cette boîte à outils ont des chevauchements de code / réutilisation avec divers outils open source. Cependant, sur la base d'un grand modèle de chevauchement et de conception d'infrastructure, en plus de son utilisation dans les cibles, nous évaluons en toute confiance l'association avec Winnti Umbrella.

Tim Erlin, vice-président, gestion des produits et stratégie chez Tripwire:

«HiddenWasp n'est pas unique dans sa technologie, à part le ciblage de Linux. Si vous surveillez vos systèmes Linux pour détecter les modifications de fichiers critiques, l'apparition de nouveaux fichiers ou d'autres modifications suspectes, le logiciel malveillant est probablement identifié comme HiddenWasp »

Comment savoir si mon système est compromis?

Pour vérifier si leur système est infecté, ils peuvent rechercher les fichiers «ld.so». Si l'un des fichiers ne contient pas la chaîne «/etc/ld.so.preload», votre système peut être compromis.

En effet, l'implant cheval de Troie essaiera de patcher les instances de ld.so pour appliquer le mécanisme LD_PRELOAD à partir d'emplacements arbitraires.

source: https://www.intezer.com/


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.