Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Linux et Windows ciblés par des malwares miners

Le 2 août 2018

Les programmes malveillants destinés à miner des crypto-monnaies à l'insu de l'utilisateur sont très populaires parmi les cybercriminels. La plupart de ces Trojans sont conçus pour l'OS Windows, les miners ciblant Linux sont beaucoup plus rares. C'est ce type de malware qui a récemment été détecté par les analystes de Doctor Web.

Les programmes malveillants et les utilitaires de mining décrits dans cet article ont été téléchargés sur un de nos " honeypot ", des serveurs spécialisés utilisés comme des appâts pour les pirates. Les premières attaques ciblant des serveurs tournant sous Linux ont été enregistrées par les analystes au début du mois de mai 2018. Les cybercriminels se connectaient au serveur via SSH, ils trouvaient le mot de passe en utilisant la technique de force brute et après s’être authentifiés sur le serveur, déconnectaient l'utilitaire iptables gérant le pare-feu. Ensuite, les attaquants téléchargeaient sur le serveur ciblé un utilitaire de mining et un fichier de configuration pour cet utilitaire. Pour le lancer, ils éditaient le contenu du fichier file/etc/rc.local. Puis ils stoppaient la connexion.

Au début du mois de juin, les criminels ont changé de schéma et ont commencé à utiliser le malware ajouté aux bases Dr.Web sous le nom de Linux.BtcMine.82. Ce cheval de Troie est écrit en Go et représente un dropper (injecteur ou virus compte-gouttes) dont le corps contient un miner emballé. Le dropper l'enregistre sur le disque et le lance, ce qui simplifie grandement le scénario de l’attaque. L'adresse du porte-feuille électronique sur lequel la cryptomonnaie extraite est versée est également enregistrée dans le corps du programme malveillant.

screenshot Linux.BtcMine.82 #drweb

Les analystes ont examiné un serveur appartenant aux malfaiteurs depuis lequel le Trojan a été téléchargé et ils y ont détecté quelques miners destinés à fonctionner sous Windows.

screenshot Linux.BtcMine.82 #drweb

La version du miner Windows représente une archive RAR auto-extractible contenant un fichier de configuration, quelques scripts VBS pour lancer le miner et l'utilitaire de mining. Après avoir lancé l’archive, l'utilitaire se décompresse vers le dossier %SYSTEMROOT%\addins et s'enregistre en tant que service avec le nom SystemEsinesBreker.

screenshot Linux.BtcMine.82 #drweb

screenshot Linux.BtcMine.82 #drweb

Les versions du miner conçues pour les OS Windows 32-bits et 64-bits sont détectées par Dr.Web Antivirus comme appartenant à la catégorie des mawlares Tool.BtcMine. Nos utilisateurs sont entièrement protégés contre ces programmes malveillants.

Plus d'infos sur ce Trojan

#Honeypot #Linux #cryptomonnaies #mining #Trojan

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2018

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg