{"id":5298,"date":"2023-09-16T05:51:16","date_gmt":"2023-09-16T03:51:16","guid":{"rendered":"https:\/\/parlonstechs.com\/all\/?p=5298"},"modified":"2023-09-16T05:55:01","modified_gmt":"2023-09-16T03:55:01","slug":"un-logiciel-malveillant-linux-voleur-de-mots-de-passe-a-fonctionne-pendant-3-ans-sans-que-personne-ne-le-remarque","status":"publish","type":"post","link":"https:\/\/parlonstechs.com\/all\/2023\/09\/16\/un-logiciel-malveillant-linux-voleur-de-mots-de-passe-a-fonctionne-pendant-3-ans-sans-que-personne-ne-le-remarque\/","title":{"rendered":"Un logiciel malveillant Linux voleur de mots de passe a fonctionn\u00e9 pendant 3 ans Sans que personne ne le remarque"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Les chercheurs de Kaspersky Lab ont r\u00e9v\u00e9l\u00e9 que le site de t\u00e9l\u00e9chargement freedownloadmanager[.]org a \u00e9t\u00e9 utilis\u00e9 pour distribuer des logiciels malveillants aux utilisateurs de Linux. Ces logiciels malveillants ont \u00e9t\u00e9 con\u00e7us pour voler des mots de passe et d\u2019autres informations sensibles. Cette activit\u00e9 malveillante aurait dur\u00e9 plus de trois ans.<\/strong><\/p>\n\n\n\n

Le site freedownloadmanager[.]org a propos\u00e9 une version du logiciel Linux connu sous le nom de Free Download Manager. Cependant, \u00e0 partir de 2020, le m\u00eame domaine aurait parfois redirig\u00e9 les utilisateurs vers le domaine deb.fdmpkg[.]org, qui proposait une version malveillante de l\u2019application. Cette version malveillante contenait un script qui t\u00e9l\u00e9chargeait deux fichiers ex\u00e9cutables dans les chemins de fichiers \/var\/tmp\/crond et \/var\/tmp\/bs. Le script utilisait ensuite le planificateur de t\u00e2ches cron pour lancer le fichier dans \/var\/tmp\/crond toutes les 10 minutes.<\/strong><\/p>\n\n\n\n

La version de Free Download Manager install\u00e9e par le paquet infect\u00e9 a \u00e9t\u00e9 publi\u00e9e le 24 janvier 2020. Parall\u00e8lement, le script postinst contient des commentaires en russe et en ukrainien, notamment des informations sur les am\u00e9liorations apport\u00e9es au logiciel malveillant, ainsi que des d\u00e9clarations d’activistes. Ils mentionnent les dates 20200126 (26 janvier 2020) et 20200127 (27 janvier 2020).<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

Les appareils qui avaient install\u00e9 la version pi\u00e9g\u00e9e de Free Download Manager \u00e9taient ainsi d\u00e9finitivement compromis. Ce logiciel malveillant Linux voleur de mots de passe a fonctionn\u00e9 pendant plus de trois ans sans que personne ne le remarque. En juillet 2022, des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert un nouveau logiciel malveillant Linux nomm\u00e9 Orbit qui cr\u00e9e une porte d\u00e9rob\u00e9e dans les machines et serveurs infect\u00e9s, permettant aux cybercriminels de voler discr\u00e8tement des informations sensibles tout en maintenant leur pr\u00e9sence sur le r\u00e9seau.<\/p>\n\n\n\n

Le malware Orbit<\/em> fournit aux cybercriminels un acc\u00e8s \u00e0 distance aux syst\u00e8mes Linux, ce qui leur permet de voler des noms d\u2019utilisateur et des mots de passe et d\u2019enregistrer des commandes TTY \u2013 les entr\u00e9es effectu\u00e9es dans le terminal Linux. Les menaces qui ciblent Linux continuent d\u2019\u00e9voluer tout en r\u00e9ussissant \u00e0 rester sous le radar des outils de s\u00e9curit\u00e9. Orbit est un exemple de plus de la fa\u00e7on dont les nouveaux logiciels malveillants peuvent \u00eatre \u00e9vasifs et persistants.<\/p>\n\n\n\n

Une porte d\u00e9rob\u00e9e bas\u00e9e sur le DNS<\/strong><\/p>\n\n\n\n

Une fois le paquet malveillant install\u00e9, l’ex\u00e9cutable \/var\/tmp\/crond<\/em> est lanc\u00e9 \u00e0 chaque d\u00e9marrage via cron. Cet ex\u00e9cutable est une porte d\u00e9rob\u00e9e et n’importe aucune fonction de biblioth\u00e8ques externes. Pour acc\u00e9der \u00e0 l’API Linux, il invoque des appels de syst\u00e8me \u00e0 l’aide de la biblioth\u00e8que dietlibc li\u00e9e statiquement.<\/p>\n\n\n\n

Au d\u00e9marrage, cette porte d\u00e9rob\u00e9e effectue une requ\u00eate DNS de type A pour le domaine <cha\u00eene de 20 octets cod\u00e9e en hexad\u00e9cimal>.u.fdmpkg[.]org. En r\u00e9ponse \u00e0 cette requ\u00eate, la porte d\u00e9rob\u00e9e re\u00e7oit deux adresses IP qui codent l’adresse et le port d’un serveur C2 secondaire. Les adresses suivantes ont \u00e9t\u00e9 renvoy\u00e9es au moment de nos recherches :<\/p>\n\n\n\n