Un nouveau logiciel malveillant Linux exploite la crypto après l'installation d'une porte dérobée avec un mot de passe principal secret

Les chercheurs en cybersécurité ont identifié une nouvelle souche de malware Linux qui non seulement exploite de manière illicite la crypto-monnaie, mais fournit également aux attaquants un accès universel à un système infecté via un "mot de passe principal secret".

Dernières tendances de TrendMicro Blog révèle également que Skidmap tente de masquer son extraction de crypto-monnaie en simulant le trafic réseau et les statistiques relatives à l'UC.

L'utilisation élevée du processeur est considérée comme le principal drapeau rouge de l'extraction illicite de crypto-monnaies, ce qui rend cette fonctionnalité particulièrement dangereuse.

Selon TrendMicro chercheurs, Skidmap démontre la «complexité croissante» des menaces récentes d’extraction de crypto-monnaie.

Les logiciels malveillants d'extraction de cryptomonnaies constituent toujours une menace réelle

L’infection initiale se produit dans un Linux processus appelé crontab, un processus standard qui planifie périodiquement des travaux chronométrés dans des systèmes de type Unix.

Skidmap installe ensuite plusieurs fichiers binaires malveillants, le premier réduisant au minimum les paramètres de sécurité de la machine infectée afin que celle-ci puisse commencer à extraire la crypto-monnaie sans entrave.

«Outre l’accès par la porte dérobée, Skidmap offre également à ses opérateurs un autre moyen d’accéder à la machine», écrit TrendMicro. "Le malware remplace le système pam_unix.so file (le module responsable de l’authentification Unix standard) avec sa propre version malveillante (…). ”

“(T)son méchant pam_unix.so file accepte un mot de passe spécifique pour tous les utilisateurs, permettant ainsi aux attaquants de se connecter comme n'importe quel utilisateur de la machine », a ajouté la société.

Des fichiers binaires supplémentaires sont déposés dans le système pour surveiller les mineurs de crypto-monnaie alors qu'ils travaillent à générer de l'argent numérique pour les attaquants.

Malheureusement, TrendMicro n’a pas indiqué quelle machine cryptée Skidmap extrait de manière illicite. Hard Fork a contacté les chercheurs pour obtenir plus d'informations et mettra à jour ce document en cas de réponse.

L'entreprise a averti que Skidmap est plus difficile à traiter que d'autres logiciels malveillants, notamment parce qu'il utilise des rootkits LKM (Linux Kernal Module), qui écrasent ou modifient des parties du noyau du système d'exploitation.

Skidmap serait également programmé pour réinfecter les systèmes nettoyés ou restaurés à la suite d’une infection.

«Les menaces liées à l’exploitation de crypto-devises n’affectent pas uniquement les performances d’un serveur ou d’un poste de travail. Elles peuvent également entraîner des dépenses plus élevées et même perturber les activités des entreprises, en particulier si elles sont utilisées pour exécuter des opérations critiques», écrit TrendMicro.

Pour se protéger contre Skidmap, TrendMicro exhorte les administrateurs à conserver leurs systèmes et serveurs corrigés et mis à jour, et à se méfier des référentiels tiers non vérifiés.

Ils devraient également appliquer le «principe du moindre privilège”Pour empêcher les fichiers binaires malveillants d'obtenir l'accès aux processus système critiques en premier lieu.

Publié le 16 septembre 2019 – 14:42 UTC