Le 8 août 2016

Les analystes de Doctor Web ont détecté et examiné un nouveau Trojan ciblant la famille Linux et capable de lancer sur l'ordinateur contaminé un logiciel conçu pour obtenir de la monnaie cryptographique. Une des particularités de ce programme malveillant est qu'il est écrit en langage Go développé par la société Google.

Le Trojan nommé Linux.Lady.1 est capable d’effectuer un nombre limité de fonctions : déterminer l’adresse IP externe de la machine infectée, attaquer d’autres ordinateurs, télécharger et exécuter sur la machine infectée un logiciel destiné à obtenir de la monnaie cryptographique (mining). Linux.Lady.1 est écrit en langage de programmation Go développé par la société Google. Des applications dangereuses créées en utilisant ce langage de programmation ont été détectées par les analystes auparavant, mais jusqu'à présent, elles sont relativement peu fréquentes. Dans son architecture, le Trojan utilise un ensemble de bibliothèques publiées sur le service connu de stockage et de co-développement d'applications GitHub.

Après son lancement, Linux.Lady.1 transmet au serveur de contrôle des informations sur la version Linux installée sur la machine infectée, sur le nom de la famille d'OS à laquelle appartient le système d'exploitation, ainsi que les données sur le nombre de processeurs, de processus en cours et d'autres informations. En réponse, le Trojan reçoit un fichier de configuration grâce auquel le logiciel miner est téléchargé et lancé; ce logiciel est destiné à obtenir de la monnaie cryptographique. L’argent obtenu de cette manière est transféré par le Trojan vers un portefeuille électronique.

Linux.Lady.1 peut déterminer l’adresse IP externe de l’ordinateur infecté à l’aide de sites spéciaux, dont il reçoit les liens dans son fichier de configuration. Il est ainsi capable d'attaquer d'autres ordinateurs reliés au réseau. Le Trojan tente de se connecter aux nœuds distants via le port utilisé par le stockage de donnée journalisé Redis (remote dictionary server) sans utiliser de mot de passe, dans l’espoir que l’administrateur système a configuré l'OS de l'ordinateur ciblé de manière incorrecte. Si la connexion est établie, le Trojan enregistre dans le Planificateur de tâches cron de l'ordinateur distant un script-downloader détecté par Dr.Web comme Linux.DownLoader.196 et qui, à son tour, télécharge et installe sur le nœud compromis une copie de Linux. Lady.1. Ensuite, le logiciel malveillant ajoute à la liste de clés autorisées une clé pour se connecter à la machine ciblée via le protocole SSH.

Dr.Web détecte et supprime les programme malveillants Linux.Lady.1 et Linux.DownLoader.196, c'est pourquoi ils ne représentent pas de danger pour nos utilisateurs.

Подробнее о троянце