Vous utilisez un navigateur obsolète !
L'affichage de la page peut être incorrect.
le 30 novembre 2015
Ce mois-ci a été marqué par l'émergence d'un nouveau Trojan Encoder ciblant Linux, baptisé Linux.Encoder.1. Cet Encoder n'est pas le premier parmi les menaces de ce type ayant ciblé l'OS Linux : en août 2014, Doctor Web informait les utilisateurs de l'apparition du Trojan.Encoder.737, conçu pour crypter les fichiers stockés dans les logiciels de stockage en réseau de l'entreprise Synology. De plus, avant de distribuer Linux.Encoder.1 les malfaiteurs ont développé deux versions de ce malware. Ce dernier restant le plus actif : d’après les résultats de recherche effectués via une requête Google appropriée, près de 3000 sites web ont déjà été compromis par ce Trojan.
Les cybercriminels qui distribuent Linux.Encoder.1 ont ciblé principalement les sites web créés en utilisant plusieurs gestionnaires de contenu (CMS), par exemple, WordPress, Magento etc. Pour monter les attaques, ils ont exploité une vulnérabilité non identifiée. Le Trojan ne requiert pas les droits root, il fonctionne avec les privilèges www-data (càd les mêmes privilèges utilisateur qu’Apache lui-même). D’après les résultats de recherche effectués via une requête Google appropriée, au 12 novembre 2015, près de 2000 sites web étaient compromis par Linux.Encoder.1. Mais au 24 novembre, ce chiffre a dépassé 3.000.
Le Trojan se lance sur le serveur où se trouve le site attaqué à l'aide du script shell, déjà intégré au gestionnaire de contenu. En utilisant ce script, les hackers pouvaient placer un fichier dans le même dossier, qui était, en fait, un injecteur de Linux.Encoder.1. Il est supposé que via une commande des cybercriminels émise, l’injecteur identifie l’architecture du système d’exploitation (32-bits ou 64-bits), extrait de son corps un échantillon du ransomware à chiffrement, le lance puis s’auto-supprime. Après son lancement sur le serveur, le Trojan crypte les fichiers dans les répertoires pour lesquels cet utilisateur en particulier possède les droits d’accès en écriture. Après cela, le programme malveillant sauvegarde le fichier README_FOR_DECRYPT.txt contenant les instructions de déchiffrement et la demande des cybercriminels sur le disque du serveur. Si, par hasard, le Trojan accède à des privilèges plus élevés, son activité malveillante ne sera pas limitée au seul répertoire du serveur web.
Le Trojan représente toujours une sérieuse menace pour les propriétaires de sites Internet, notamment si de nombreux CMS populaires n’ont pas corrigé la vulnérabilité, et que certains webmasters ne jugent pas opportun de faire des mises à jour ou utilisent des versions périmées de composants ou modules WordPress, Magento etc.
En raison du fait que le code de Linux.Encoder.1 présente des défauts significatifs, les données chiffrées par le Trojan peuvent être décryptées. Pour plus d'infos sur cette menace, ses moyens de propagation et son fonctionnement, vous pouvez lire l'article correspondant ou le rapport détaillé sur ce Trojan.
Les spécialistes de Doctor Web continuent de surveiller le grand botnet créé à l'aide du virus de fichier Win32.Rmnet.12. Sa moyenne quotidienne de croissance en novembre 2015 est représentée dans les graphiques ci-dessous :
Rmnet famille de virus de fichiers distribués sans l'intervention de l'utilisateur, capables d'injecter un code parasite dans les pages web (cela permet de recueillir les données bancaires de la victime), de voler les cookies et les mots de passe pour les clients FTP et d’exécuter des commandes distantes.
Le botnet Win32.Sector est toujours opérationnel. Sa moyenne quotidienne de croissance est représentée dans le graphique ci-dessous :
Ce logiciel malveillant possède les fonctionnalités suivantes :
Au cours du mois, les spécialistes ont constaté la réduction des attaques effectuées à l'aide du Trojan Linux.BackDoor.Gates.5, qui a commencé en octobre. Au cours du mois écoulé, le nombre de sites attaqués a diminué de 27,9% et représente 3641. La Chine est toujours en première place parmi les cibles et les États-Unis viennent en seconde place.
Les requêtes adressées au support technique de Doctor Web pour le décryptage de fichiers ne viennent pas seulement de Russie. Doctor Web fournit un support technique aux utilisateurs des pays européens attaqués par les Trojans Encoders. De plus, les propriétaires de sites infectés par le Trojan Encoder Linux.Encoder.1 ont également contacté le support technique de Doctor Web. Il faut noter que les utilitaires de décryptage de fichiers touchés par Linux.Encoder.1 ne peuvent pas supprimer le script shell, intégré par les malfaiteurs, qui peuvent l'utiliser pour infecter encore une fois le système. C'est pourquoi les spécialistes du support aident les victimes à nettoyer le système contre les objets malveillants et à le sécuriser contre les attaques utilisant ce script à l'avenir.
Cette fonctionnalité n’est pas disponible dans Dr.Web Antivirus pour Windows
Prévention de la perte de données | |
---|---|
Le Trojan Linux.Encoder.1 n'était pas le seul Encoder à cibler les utilisateurs de Linux. Les chercheurs ont détecté au moins deux représentants de cette famille de malwares, apparus avant Linux.Encoder.1, mais passés presque inaperçus.
Ainsi le Trojan, baptisé Linux.Encoder.2, utilise un autre générateur de chiffres pseudo-aléatoire et la bibliothèque de cryptage OpenSSL (et pas PolarSSL comme Linux.Encoder.1). En outre, le chiffrement est effectué en mode AES-OFB-128 avec réinitialisation du contexte chaque 128 octets c'est-à dire chaque 8 blocs AES. Linux.Encoder.2 comprend beaucoup d'autres différences par rapport à d’autres versions de cet Encoder. Pour plus d'infos sur cette menace, vous pouvez lire l'article correspondant sur le site de Doctor Web.
Les chercheurs ont détecté le Trojan Linux.Sshcrack.1, conçu pour accéder à un appareil en lançant des attaques par dictionnaire.
Au cours du mois, les spécialistes ont détecté le package de malwares baptisé BackDoor.RatPack. Les malfaiteurs l'ont diffusé en tant que document RTF, contenant un fichier crypté malveillant. Il faut noter que ce fichier représente un installateur et possède une signature numérique valide (comme presque tous les fichiers du package BackDoor.RatPack).
A son lancement, l'installateur recherche la présence de machines virtuelles, de programmes de contrôle et de débogueurs, ainsi que la présence de logiciels de banque en ligne de certaines banques russes. La charge utile de cet installateur porte la modification d’un programme shareware appelé Remote Office Manager — les chercheurs de Doctor Web ont détecté au moins 3 versions différentes de ce programme. En interceptant un certain nombre de fonctions système, le malware est capable de masquer les raccourcis de l’outil dans la zone de notification et dans la barre des tâches Windows, afin que l'utilisateur ne puisse pas détecter ce malware. Les spécialistes supposent que les malfaiteurs utilisent BackDoor.RatPack pour accéder aux données bancaires et à d’autres données confidentielles en contrôlant à distance la machine compromise. Pour en savoir plus sur cette menace, consultez les informations publiées par Doctor Web.
En novembre 2015, la base de sites non recommandés par Dr.Web s’est enrichie de 670 545 adresses Internet.
Octobre 2015 | Novembre 2015 | Evolution |
---|---|---|
+ 264,970 | + 670,545 | + 153 % |
Tout au long du mois, les analystes de Doctor Web ont détecté des logiciels malveillants ciblant Android et les ont ajoutés aux bases virales Dr.Web. Ils ont notamment détecté un publiciel qui s'installe dans le système à l'aide d’un Trojan et affiche des publicités. Les chercheurs ont également découvert des Trojans-Extorqueurs, bancaires, Trojans SMS et autres logiciels malveillants. Enfin, les spécialistes ont détecté encore un Trojan ciblant les appareils mobiles sous iOS.
Les événements les plus importants du mois sont :
Statistiques virales Bibliothèque de descriptions virales Tous les rapports viraux Labo Live