Un logiciel malveillant Linux voleur de mots de passe a fonctionn pendant 3 ans, sans que personne ne le remarque

Dcouverte de Symbiote, un malware Linux extrmement dangereux et presque impossible dtecter Il existe depuis au moins novembre 2021 et semble avoir t dvelopp pour cibler le secteur financier



Les chercheurs de Kaspersky Lab ont rvl que le site de tlchargement freedownloadmanager[.]org a t utilis pour distribuer des logiciels malveillants aux utilisateurs de Linux. Ces logiciels malveillants ont t conus pour voler des mots de passe et dautres informations sensibles. Cette activit malveillante aurait dur plus de trois ans.

Le site freedownloadmanager[.]org a propos une version du logiciel Linux connu sous le nom de Free Download Manager. Cependant, partir de 2020, le mme domaine aurait parfois redirig les utilisateurs vers le domaine deb.fdmpkg[.]org, qui proposait une version malveillante de lapplication. Cette version malveillante contenait un script qui tlchargeait deux fichiers excutables dans les chemins de fichiers /var/tmp/crond et /var/tmp/bs. Le script utilisait ensuite le planificateur de tches cron pour lancer le fichier dans /var/tmp/crond toutes les 10 minutes.

La version de Free Download Manager installe par le paquet infect a t publie le 24 janvier 2020. Paralllement, le script postinst contient des commentaires en russe et en ukrainien, notamment des informations sur les amliorations apportes au logiciel malveillant, ainsi que des dclarations d’activistes. Ils mentionnent les dates 20200126 (26 janvier 2020) et 20200127 (27 janvier 2020).

Les appareils qui avaient install la version pige de Free Download Manager taient ainsi dfinitivement compromis. Ce logiciel malveillant Linux voleur de mots de passe a fonctionn pendant plus de trois ans sans que personne ne le remarque. En juillet 2022, des chercheurs en cyberscurit ont dcouvert un nouveau logiciel malveillant Linux nomm Orbit qui cre une porte drobe dans les machines et serveurs infects, permettant aux cybercriminels de voler discrtement des informations sensibles tout en maintenant leur prsence sur le rseau.

Le malware Orbit fournit aux cybercriminels un accs distance aux systmes Linux, ce qui leur permet de voler des noms dutilisateur et des mots de passe et denregistrer des commandes TTY les entres effectues dans le terminal Linux. Les menaces qui ciblent Linux continuent dvoluer tout en russissant rester sous le radar des outils de scurit. Orbit est un exemple de plus de la faon dont les nouveaux logiciels malveillants peuvent tre vasifs et persistants.

Une porte drobe base sur le DNS

Une fois le paquet malveillant install, l’excutable /var/tmp/crond est lanc chaque dmarrage via cron. Cet excutable est une porte drobe et n’importe aucune fonction de bibliothques externes. Pour accder l’API Linux, il invoque des appels de systme l’aide de la bibliothque dietlibc lie statiquement.

Au dmarrage, cette porte drobe effectue une requte DNS de type A pour le domaine <chane de 20 octets code en hexadcimal>.u.fdmpkg[.]org. En rponse cette requte, la porte drobe reoit deux adresses IP qui codent l’adresse et le port d’un serveur C2 secondaire. Les adresses suivantes ont t renvoyes au moment de nos recherches :

  • 172.111.48[.]101 ;
  • 172.1.0[.]80

La premire adresse IP de la liste ci-dessus est l’adresse du serveur C2 secondaire, tandis que la deuxime adresse contient le port de connexion (cod dans les troisime et quatrime octets) et le type de connexion (cod dans le deuxime octet).

Aprs avoir analys la rponse la requte DNS, la porte drobe lance un shell invers, en utilisant le serveur C2 secondaire pour les communications. Le protocole de communication est, selon le type de connexion, soit SSL, soit TCP. Dans le cas de SSL, la porte drobe crond lance l’excutable /var/tmp/bs et lui dlgue toutes les communications ultrieures. Dans le cas contraire, le shell invers est cr par la porte drobe crond elle-mme.

Un drobateur de Bash

Aprs avoir dcouvert que la porte drobe crond cre un shell invers, nous avons dcid de vrifier comment ce shell est utilis par les attaquants. Pour ce faire, nous avons install le paquet Free Download Manager infect dans un bac sable d’analyse des logiciels malveillants. Aprs avoir analys le trafic gnr par crond, nous avons dtermin que les attaquants avaient dploy un voleur Bash dans le bac sable.

Ce voleur collecte des donnes telles que des informations systme, l’historique de navigation, des mots de passe enregistrs, des fichiers de portefeuilles de cryptomonnaies, ainsi que des informations d’identification pour des services cloud (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).

Aprs avoir recueilli des informations sur la machine infecte, le voleur tlcharge un binaire de tlchargement partir du serveur C2 et l’enregistre dans /var/tmp/atd. Il utilise ensuite ce binaire pour tlcharger les rsultats de l’excution du voleur vers l’infrastructure des attaquants. Aucune autre activit ralise via le reverse shell na t observe, et la chane d’infection complte peut donc tre dcrite l’aide du graphique ci-dessous :

Le mystre du vecteur d’infection

Aprs avoir analys tous les lments de la chane, les chercheurs ont voulu savoir comment le paquet Debian infect avait t distribu aux victimes. Ils ont consult le site officiel de Free Download Manager (freedownloadmanager[.]org). Les paquets disponibles au tlchargement sur ce site se sont avrs tre hbergs sur le domaine files.freedownloadmanager[.]org, et ils n’ont pas fait l’objet d’un backdoored.

Les chercheurs ont ensuite dcid d’effectuer une vrification des sources ouvertes sur le domaine fdmpkg[.]org. Cette vrification a rvl une douzaine de messages sur des sites web tels que StackOverflow et Reddit, dans lesquels les utilisateurs discutaient des problmes causs par la distribution infecte de Free Download Manager, sans se rendre compte qu’ils taient en fait victimes d’un logiciel malveillant. Comme dit prcdemment, ces messages ont t publis sur une priode de trois ans, de 2020 2022.

Dans l’un de ces messages, l’auteur se plaint du message Waiting for process : crond qui empche l’ordinateur de s’teindre :

Les rponses cet article, provenant d’utilisateurs confronts au mme problme, suggrent que ce problme est caus par le logiciel Free Download Manager. Elles conseillent de supprimer les fichiers /etc/cron.d/collect, /var/tmp/crond et /var/tmp/bs. Cependant, aucun ne mentionne que ces trois fichiers sont malveillants.

Le logiciel malveillant observ dans cette campagne est connu depuis 2013. En outre, les implants se sont rvls assez bruyants, comme le montrent les nombreux messages posts sur les rseaux sociaux. Selon notre tlmtrie, les victimes de cette campagne sont localises dans le monde entier, notamment au Brsil, en Chine, en Arabie Saoudite et en Russie. Compte tenu de ces faits, il peut sembler paradoxal que le paquet malveillant Free Download Manager soit rest indtect pendant plus de trois ans. Cela serait d aux facteurs suivants :

  • la frquence dobservation de logiciels malveillants sur Linux est beaucoup plus faible que sur Windows ;
  • les compromissions par le paquet malveillant de Debian se sont produites avec un certain degr de probabilit : certains utilisateurs ont reu le paquet compromis, tandis que d’autres ont fini par tlcharger le paquet bnin ;
  • les utilisateurs de rseaux sociaux qui discutent des problmes lis Free Download Manager ne souponnent pas qu’ils sont dus des logiciels malveillants.

Les logiciels malveillants ciblant Linux sont beaucoup moins frquents que ceux ciblant Windows. Cependant, il est important de noter que la quantit de logiciels malveillants pour Linux a augment de manire exponentielle au cours du premier semestre 2022, atteignant un niveau record aprs la dcouverte de 1,7 million dchantillons par les chercheurs. En comparaison, Windows reste le systme dexploitation le plus infect par des logiciels malveillants, avec 41,4 millions dchantillons nouvellement programms identifis au premier semestre 2022.

Les services gratuits ne sont pas vraiment gratuits

La ralit est que les services gratuits ne sont pas gratuits, et beaucoup de ces milliards d’utilisateurs sont heureux d’tre complices afin de rendre leur vie plus facile. Bien quils ne cotent pas dargent au dpart, ils saccompagnent souvent de cots cachs, tels que la collecte et lutilisation de donnes personnelles pour la publicit cible. Lexemple de Google et Facebook est une illustration parfaite. Une tude ralise en 2019 par le Centre for Data Innovation s’est penche sur le compromis entre l’change de donnes et l’accs aux services en ligne. Elle a rvl que 80 % des utilisateurs amricains souhaitaient que Facebook et Google collectent moins de donnes les concernant.

Toutefois, lorsqu’on leur demande quels compromis ils seraient prts faire pour y parvenir, ils se montrent plus ambivalents. Lorsqu’on leur demande s’ils accepteraient de collecter moins de donnes mais de perdre certaines fonctionnalits de ces services, ils ne sont plus que 64 % les soutenir. Lorsqu’on leur demande s’ils seraient prts payer un abonnement mensuel pour que Facebook et Google collectent moins de donnes, ils ne sont plus que 25 %.

Bien que la campagne soit actuellement inactive, le cas de Free Download Manager montre qu’il peut tre trs difficile de dtecter l’il nu les cyberattaques en cours sur les machines Linux. Il est donc essentiel que les machines Linux, qu’il s’agisse d’ordinateurs de bureau ou de serveurs, soient quipes de solutions de scurit fiables et efficaces.

Source : Kaspersky

Et vous ?

Comment le site freedownloadmanager[.]org a-t-il pu distribuer des logiciels malveillants pendant plus de trois ans sans tre dtect ?

Comment les utilisateurs de Linux peuvent-ils se protger contre les logiciels malveillants tels que celui distribu par freedownloadmanager[.]org ?

Quelles sont selon vous, les mesures que les utilisateurs de Linux peuvent prendre pour viter dtre victimes de logiciels malveillants ?

Croyez-vous aux services gratuits en ligne ?

Voir aussi :

Un hbergeur danois dclare que ses clients ont perdu toutes leurs donnes , aprs une attaque par renongiciel

Les organisations ne parviennent empcher que six cyberattaques sur dix, selon le rapport de Picus Security

Kubernetes expos : Un Yaml prs du dsastre, 72% des installations sont non scurises et exposes aux attaques



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.