Le 21 août 2017

Les Trojans mineurs utilisant les ressources des ordinateurs pour récolter des crypto-monnaies sont connus depuis 2011. Au fil des années, l'intérêt des malfaiteurs pour ce type de Trojan n'a pas faibli, et l'apparition de nouveaux programmes de ce type en témoigne.

De nouveaux Trojans Mineurs apparaissent régulièrement et les analystes de Doctor Web constatent une tendance intéressante : les créateurs de ces malwares ciblent de plus en plus la plate-forme Linux. Ces dernières années, l'univers IoT sous Linux s’est développé, mais ces objets intelligents peuvent poser des questions de sécurité. Les paramètres pré-installés par défaut devraient être modifiés pour une meilleure sécurité, notamment le nom d'utilisateur et le mot de passe administrateur, ce qui est rarement fait par les utilisateurs. C’est pourquoi le piratage de ce type d'appareil ne représente pas un gros problème pour les criminels.

Ce Trojan Mineur conçu pour fonctionner sous Linux a reçu le nom de Linux.BtcMine.26. La méthode utilisée pour sa propagation ressemble au mécanisme utilisé par le Trojan Linux.Mirai: les attaquants se connectent à l'appareil visé via le protocole Telnet, ils trouvent le mot d'utilisateur et le mot de passe, puis ils enregistrent sur l'appareil un logiciel chargeur (loader). Ensuite, les cybercriminels lancent ce programme en utilisant la ligne de commande et téléchargent sur l'appareil le Trojan Linux.BtcMine.26.

L'analyse du chargeur de ce mineur a révélé une des particularités de cette application: l'adresse du site krebsonsecurity.com appartenant à l'expert en sécurité informatique bien connu, Brian Krebs, figure dans son code à plusieurs reprises. Apparemment, l'auteur du Trojan est son "fan" secret.

Le Trojan est conçu pour miner des Monero (XRM) - des crypto-monnaies créées en 2014. Actuellement, on connaît les builds Linux.BtcMine. 26 pour les architectures x86-64 et ARM. Les caractéristiques pouvant indiquer la présence du mineur sont les suivantes: une baisse des performances de l'appareil et une augmentation de la ventilation de l’ordinateur. La méthode la plus sûre pour prévenir la contamination par ce type de malwares consiste à modifier le nom d'utilisateur et le mot de passe définis par défaut sur l'appareil. Il est recommandé d'utiliser des mots de passe forts, résistant au piratage par force brute. Il est également recommandé de limiter la possibilité de modifier à distance les paramètres de l'appareil en cas de connexion de l'extérieur.

La signature de Linux.BtcMine.26 a été ajoutée aux bases de Dr.Web Antivirus pour Linux, ce Trojan ne présente donc pas de danger pour nos utilisateurs.

Plus d'infos sur ce Trojan