Les experts de la société japonaise Trend Micro, spécialisée dans les questions de cybersécurité, ont découvert le programme malveillant SprySOCKS, utilisé pour attaquer les machines exécutant la famille de systèmes Linux.
Le nouveau malware provient de la porte dérobée Windows Trochilus, découvert Créé en 2015 par des chercheurs de la société Arbor Networks, il est lancé et exécuté uniquement en mémoire, et sa charge utile n'est pas stockée sur des disques, ce qui complique considérablement la détection. En juin de cette année, les chercheurs de Trend Micro ont découvert un fichier nommé « libmonitor.so.2 » sur un serveur utilisé par un groupe dont ils surveillaient l'activité depuis 2021. Dans la base de données VirusTotal, ils ont découvert le fichier exécutable associé « mkmon », qui a permis de décrypter « libmonitor.so.2 » et de révéler sa charge utile.
Il s'est avéré qu'il s'agit d'un programme malveillant complexe pour Linux, dont la fonctionnalité coïncide en partie avec les capacités de Trochilus et possède une implémentation originale du protocole Socket Secure (SOCKS), c'est pourquoi le malware a reçu le nom de SprySOCKS. Il permet de collecter des informations sur le système, de lancer une interface de commande de gestion à distance (shell), de constituer une liste de connexions réseau, de déployer un serveur proxy basé sur le protocole SOCKS pour échanger des données entre le système compromis et le serveur de commande de l'attaquant, et effectuer d'autres opérations. Spécifier les versions du malware suggère qu'il est encore en développement.
Les chercheurs suggèrent que SprySOCKS est utilisé par des pirates informatiques du groupe Earth Lusca - il a été découvert pour la première fois en 2021 et est apparu sur la liste des cybercriminels un an plus tard. Le groupe utilise des méthodes d'ingénierie sociale pour infecter les systèmes. SprySOCKS installe les packages Cobalt Strike et Winnti en tant que charges utiles. Le premier est un kit pour trouver et exploiter les vulnérabilités ; le second, vieux de plus de dix ans, contacte les autorités chinoises. Il existe une version selon laquelle le groupe Earth Lusca, qui travaille principalement avec des cibles asiatiques, vise à détourner des fonds, car ses victimes sont souvent des entreprises impliquées dans les jeux de hasard et les crypto-monnaies.
Lisez aussi:
- Microsoft a été accusé de « négligence flagrante » en matière de cybersécurité
- Des pirates informatiques ont désactivé l'un des observatoires astronomiques les plus modernes