Linux : ce nouveau logiciel malveillant « évasif » crée une porte dérobée pour voler des mots de passe

Bumblebee, nouvelle coqueluche des cybercriminels


Une forme de logiciel malveillant (malware) Linux récemment découverte crée une porte dérobée (backdoor) dans les machines et serveurs infectés, permettant aux cybercriminels de voler discrètement des informations sensibles tout en maintenant leur présence sur le réseau.


Détaillé par les chercheurs en cybersécurité d’Intezer, le malware non détecté jusqu’à présent a été appelé Orbit d’après les noms de fichiers qu’il utilisait pour stocker temporairement les résultats des commandes exécutées.


Linux est un système d’exploitation populaire pour les serveurs et les infrastructures de cloud, ce qui en fait une cible tentante pour les cybercriminels. Le malware Orbit fournit aux cybercriminels un accès à distance aux systèmes Linux, ce qui leur permet de voler des noms d’utilisateur et des mots de passe et d’enregistrer des commandes TTY – les entrées effectuées dans le terminal Linux.

Vol des informations  à partir de connexions SSH


En outre, le malware peut infecter les processus en cours d’exécution sur la machine, ce qui permet finalement aux pirates de prendre le contrôle du système requis pour surveiller et voler des informations, tout en conservant une porte dérobée sur les systèmes compromis.


Une fois installé, Orbit établit une connexion à distance avec la machine et accroche les fonctions du Linux Pluggable Authentication Module. Ce faisant, le malware peut voler des informations à partir de connexions SSH (Secure Shell Protocol), fournissant ainsi un accès à distance aux attaquants tout en dissimulant l’activité réseau de la victime.


Orbit est également conçu pour être très persistant, ce qui le rend difficile à supprimer d’une machine infectée en cours d’exécution. Pour ce faire, il ajoute des instructions indiquant que le malware doit être chargé avant tout autre processus.


Le malware est également configuré pour échapper à la détection en empêchant que les informations qui pourraient révéler l’existence d’Orbit soient détectées en manipulant les sorties pour éviter de détailler l’activité malveillante.


« Contrairement à d’autres menaces, ce malware vole des informations à partir de différentes commandes et utilitaires et les stocke dans des fichiers spécifiques sur la machine », a déclaré Nicole Fishbein, chercheur en sécurité chez Intezer. « Les menaces qui ciblent Linux continuent d’évoluer tout en réussissant à rester sous le radar des outils de sécurité, maintenant Orbit est un exemple de plus de la façon dont les nouveaux logiciels malveillants peuvent être évasifs et persistants », a-t-elle ajouté.


Les services et serveurs en mode cloud sont mal configurés par erreur, ce qui permet à des intrus non autorisés d’accéder aux systèmes. Les entreprises doivent s’assurer que leur configuration de cloud est correctement gérée afin d’éviter des points faibles comme celui-ci, qui pourraient permettre à des attaquants d’accéder aux réseaux.


Source : « ZDNet.com »





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.