Linux.MineBTC.174 : le nouveau cryptomalware tout-en-un ciblant Linux

La boîte à outils parfaite du petit crypto-arnaqueur. C’est la société russe Dr.Web, éditrice de solutions antivirus, qui a tiré la sonnette d’alarme : non, au joyeux rayon des malwares mineurs de cryptomonnaies, les utilisateurs de Windows ne sont pas les seuls à trouver chaussure à leur pied. Une nouvelle menace ciblerait spécifiquement les utilisateurs utilisant une distribution Linux : merci d’accueillir en fanfare Linux.MineBTC.174 !

Mais comment cette petite merveille au nom chantant se comporte-t-elle une fois qu’elle s’accroche à un utilisateur innocent ? Voyons cela ensemble.

Quand un cheval de Troie atteint de la vache folle contamine un manchot

Prenant d’abord la forme d’un script à l’embonpoint certain (plus de 1000 lignes de code, d’après l’analyse de Dr.Web), le logiciel malveillant commence à s’installer plus confortablement dans l’infrastructure Unix dès lors qu’il a été exécuté, jusque là rien de bien exceptionnel.

Mais c’est ensuite que la crypto-affaire se corse un tantinet. Le malware va alors chercher tout endroit random où il possédera d’office des droits de modification de base, lui permettant ainsi de poser son véritable camp de base. À partir de celui-ci, il sera capable d’installer plus tard d’autres composantes qui lui donneront une force de frappe décuplée.

[arve model= »gif » url= »https://giphy.com/gifs/S3Ot3hZ5bcy8o/html5″ align= »center » promote_link= »no » autoplay= »yes » maxwidth= »480″ controlslist= »nodownload » /]

Parmi celles-ci, la possibilité de tirer partie de certaines vulnérabilités du système, parmi lesquelles celles identifiées comme CVE-2016-5195 (dite “Dirty Cow”) et CVE-2013-2094 : ces vulnérabilités dites d’escalation permettent à terme à un attaquant de prendre le contrôle total (ou presque) du système en tant qu’administrateur.

Miner du XMR en solo tout en restant collaboratif

[coin-widget id= »monero »]

Dans un premier temps, le malware se limite à une utilité devenue très classique : se servir de son système hôte pour miner de la cryptomonnaie, et dans le cas présent, comme dans d’autres précédents, plus spécifiquement du Monero (XMR).

Mais ce n’est pas suffisant pour ce cryptomalware définitivement disruptif : des fonctionnalités permettant de participer à des attaques par déni de service au sein de réseaux botnets (DDOS) sont également incluses. Puisqu’il serait dommage de se priver, le malware est aussi configuré pour désactiver les antivirus les plus fréquemment utilisés dans ce genre d’environnement informatique spécifique. Basique, comme dirait l’autre.

Le Sudo-Virus au rootkit contagieux

[arve model= »gif » url= »https://giphy.com/gifs/l3q2FUUVZqU8h1xD2/html5″ align= »center » promote_link= »no » autoplay= »yes » maxwidth= »480″ controlslist= »nodownload » /]

Pour autant, les festivités ne sont pas encore terminées, même après avoir passé en revue tous ces angles d’attaque. Le script s’inscrit ensuite en autorun dans le répertoire /etc et ses dossiers enfants. Il va également gagner les différents droits d’accès dits sudo, qui lui permettent en résumé d’exécuter ensuite ses attaques en tant qu’administrateur principal du système infecté.

Dans la continuité logique, et en lien avec les fonctionnalités précédemment évoquées, Linux.MineBTC.174 installe ensuite un rootkit. Ce maliciel furtif lui permet ensuite de s’étendre encore plus, en infectant d’autres systèmes informatiques qui viendraient à être connectés au système infecté initialement, via le protocole SSH.

En définitive, l’équipe à l’origine de la découverte chez Dr.Web a mis à disposition sur un GitHub dédié les empreintes SHA1 de certains composants du malware. Ils espèrent ainsi permettre à certains opérateurs de systèmes potentiellement atteints de repérer ladite infection.

Sources : Dr.Web ; ZDNet || Images from Shutterstock & Giphy

Grégory Mohet-Guittard

Je fais des trucs au JDC depuis 2018. En ce moment, souvent en podcast et la tête dans le nuage.