piratage_hacking_securite-1

Linux.MineBTC.174 : le nouveau cryptomalware tout-en-un ciblant Linux

Trading du CoinTrading du Coin

La boîte à outils parfaite du petit crypto-arnaqueur. C’est la société russe Dr.Web, éditrice de solutions antivirus, qui a tiré la sonnette d’alarme : non, au joyeux rayon des malwares mineurs de cryptomonnaies, les utilisateurs de Windows ne sont pas les seuls à trouver chaussure à leur pied. Une nouvelle menace ciblerait spécifiquement les utilisateurs utilisant une distribution Linux : merci d’accueillir en fanfare Linux.MineBTC.174 !

Mais comment cette petite merveille au nom chantant se comporte-t-elle une fois qu’elle s’accroche à un utilisateur innocent ? Voyons cela ensemble.

Quand un cheval de Troie atteint de la vache folle contamine un manchot

Prenant d’abord la forme d’un script à l’embonpoint certain (plus de 1000 lignes de code, d’après l’analyse de Dr.Web), le logiciel malveillant commence à s’installer plus confortablement dans l’infrastructure Unix dès lors qu’il a été exécuté, jusque là rien de bien exceptionnel.

Mais c’est ensuite que la crypto-affaire se corse un tantinet. Le malware va alors chercher tout endroit random où il possédera d’office des droits de modification de base, lui permettant ainsi de poser son véritable camp de base. À partir de celui-ci, il sera capable d’installer plus tard d’autres composantes qui lui donneront une force de frappe décuplée.

Parmi celles-ci, la possibilité de tirer partie de certaines vulnérabilités du système, parmi lesquelles celles identifiées comme CVE-2016-5195 (dite “Dirty Cow”) et CVE-2013-2094 : ces vulnérabilités dites d’escalation permettent à terme à un attaquant de prendre le contrôle total (ou presque) du système en tant qu’administrateur.

Miner du XMR en solo tout en restant collaboratif

Monero (XMR)

€ 39.050.01269061 BTC
Change
  • 1h
    -0.76%
  • 24h
    3.64%
  • 7j
    -14.77%
Rang
12
Market Cap
€ 649.80M
Volume 24h
€ 10.44M
Supply
16.64M /

Dans un premier temps, le malware se limite à une utilité devenue très classique : se servir de son système hôte pour miner de la cryptomonnaie, et dans le cas présent, comme dans d’autres précédents, plus spécifiquement du Monero (XMR).

Mais ce n’est pas suffisant pour ce cryptomalware définitivement disruptif : des fonctionnalités permettant de participer à des attaques par déni de service au sein de réseaux botnets (DDOS) sont également incluses. Puisqu’il serait dommage de se priver, le malware est aussi configuré pour désactiver les antivirus les plus fréquemment utilisés dans ce genre d’environnement informatique spécifique. Basique, comme dirait l’autre.

Le Sudo-Virus au rootkit contagieux

Pour autant, les festivités ne sont pas encore terminées, même après avoir passé en revue tous ces angles d’attaque. Le script s’inscrit ensuite en autorun dans le répertoire /etc et ses dossiers enfants. Il va également gagner les différents droits d’accès dits sudo, qui lui permettent en résumé d’exécuter ensuite ses attaques en tant qu’administrateur principal du système infecté.

Dans la continuité logique, et en lien avec les fonctionnalités précédemment évoquées, Linux.MineBTC.174 installe ensuite un rootkit. Ce maliciel furtif lui permet ensuite de s’étendre encore plus, en infectant d’autres systèmes informatiques qui viendraient à être connectés au système infecté initialement, via le protocole SSH.

En définitive, l’équipe à l’origine de la découverte chez Dr.Web a mis à disposition sur un GitHub dédié les empreintes SHA1 de certains composants du malware. Ils espèrent ainsi permettre à certains opérateurs de systèmes potentiellement atteints de repérer ladite infection.

Sources : Dr.Web ; ZDNet || Images from Shutterstock & Giphy

PARTAGER
Grégory Guittard
Bitcoin Maximaliste, Blockchain-sceptique. Je doute très fortement que la sacro-sainte Blockchain qu'on nous vend à tout bout de champ nous sauvera tous, façon délire christique. La perspective d'un moyen de paiement pair-à-pair, décentralisé et non censurable (Bitcoin) est ce qui me semble réellement révolutionnaire dans la cryptosphère. Je disrupte des articles à l'occasion sur mon temps libre, et souvent, aux dépends de vos shitcoins préférés. Je privilégie les sources vérifiables et le cynisme à la neutralité plate, mais je suis ouvert à la discussion : si j'ai écrit une énormité, n'hésitez pas à m'envoyer vos commentaires, remarques ou vos vociférations directement à [email protected]

LAISSER UN COMMENTAIRE

Votre adresse de messagerie ne sera pas publiée.En publiant un commentaire, vous acceptez notre politique de confidentialité.

S'il vous plaît entrez votre commentaire!
Veuillez entrer votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.