Linux – Dr Web découvre un nouveau trojan espion

3
101

Et oui, les malwares visant Linux existent (tout comme ceux ciblant Mac au passage). D’ailleurs, l’équipe de Dr Web vient de mettre la main sur un tout nouveau cheval de Troie Linux dédié à l’espionnage et permettant des captures d’écran.

L’éditeur de solutions de sécurité russe Dr Web a découvert un nouveau cheval de Troie affectant les systèmes Linux, baptisé Linux.Ekoms.1 qui a été conçu pour effectuer des captures d’écran à intervalles réguliers (toutes les trente secondes) sur une machine infectée. Un outil d’espionnage donc à distance.

Quid du fonctionnement ? Le malware va parcourir l’un des sous-dossiers du répertoire home du système infecté à la recherche de dossiers et fichiers particuliers :

  • $HOME/$DATA/.mozilla/firefox/profiled
  • $HOME/$DATA/.dropbox/DropboxCache

Si la recherche s’avère négative, le trojan va créer au hasard un dossier dédié à son installation pour renforcer sa sécurité et implantation sur la machine. Ensuite, Linux.Ekoms.1 se connecte au serveur distant de contrôle et est alors prêt à envoyer les données collectées sous forme d’images à des adresses distantes renseignées en dur dans le corps du malware.

Le principe est simple : le malware effectue des captures d’écran toutes les 30 secondes qu’il sauvegarde dans un dossier temporaire au format JPEG. Si la tentative de sauvegarde au format JPEG échoue, le cheval de Troie lance un autre processus en tentant de sauvegarder ces captures d’écran au format BMP. Il configure ensuite un proxy et envoie le dossier temporaire sur le serveur distant à intervalles réguliers, le tout chiffrées via une clé RSA utilisée pour obtenir la clé de session AES. Le chiffrement est initialement effectué en utilisant la clé publique et le déchiffrement est exécuté en appliquant la fonction RSA_public_decrypt aux données reçues.

« Le code du cheval de Troie contient une fonctionnalité spéciale lui permettant d’enregistrer les sons et de les sauvegarder dans un fichier. aat au format WAV. Cependant, il apparaît que cette fonction n’est utilisée nulle part pour l’instant dans cette version », ajoute Dr Web.

Cependant, Dr Web n’a pas donné de détails concernant l’infection ni le vecteur…

 

Sources : Dr Web, Developpez.com

3 Commentaires

  1. Quelles sont les sources infectieuses? Ça peut-être un site web ou est-ce depuis une archive/mail? Comment s’en protéger?

Les commentaires sont fermés.