IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Linux : des chercheurs découvrent un Cheval de Troie bancaire sophistiqué
« Hand of Thief » commercialisé sur le marché noir par ses développeurs

Le , par Hinault Romaric
17 commentaires

35PARTAGES

6  0 
Linux : des chercheurs découvrent un Cheval de Troie bancaire sophistiqué
« Hand of Thief » commercialisé sur le marché noir par ses développeurs

Contrairement à Windows qui est la cible favorite des pirates, les utilisateurs de Linux ont pratiquement été toujours à l’abri des attaques malveillantes.

En dehors de quelques exploits touchant essentiellement les serveurs Linux, on entend très peu parler de Cheval de Troie ou de virus informatique sur Linux. Ce qui pourrait cependant changer.

Des pirates ont développé un Cheval de Troie bancaire qui cible essentiellement les utilisateurs des systèmes d’exploitation Linux.

Le virus a été découvert par Limor Kessem, un chercheur en sécurité de RSA, qui révèle que le Cheval de Troie est vendu sur le marché noir, dans un forum de cybercriminalité pour 2 000 dollars, avec 550 dollars de frais pour les mises à jour majeures qui apporteront de nouvelles fonctionnalités.

Baptisé « Hand of Thief », le malware dispose d’un formulaire permettant de capturer des sessions HTTP et HTTPS sur une variété de navigateurs (y compris Firefox et Chrome), de routines pour bloquer l’accès aux mises à jour de sécurité ou aux sites Web des éditeurs d’antivirus, et de capacités de backdoor.


Le malware serait capable de détecter la présence d’un d’environnement virtuel, les bacs à sable, les débogueurs et de stopper son exécution dans un certain environnement, ce qui rendrait difficile la détection et l’analyse de celui-ci par des chercheurs en sécurité.

Il est prévu que « Hand of Thief » soit doté d’une série de fonctionnalités pour les injections Web et d’autres améliorations pour devenir un malware bancaire à part entière.

Pire encore, le programme malveillant a été testé avec succès sur près de quinze distributions Linux (Ubuntu, Fedora, Debian, Mint, etc.) et sur huit environnements de bureau différents (y compris Gnome et KDE), par les pirates russes qui l’ont développé.

Le vecteur d’infection serait les mails et les réseaux sociaux.

Les chercheurs de RSA ont pu obtenir le code source de la partie serveur du malware et étudient actuellement le moyen de le contrer.

Source : RSA

Et vous ?

Que pensez-vous de cette menace ?
Vous avez lu gratuitement 473 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

17 commentaires
Commenter Signaler un problème
MightyJean
Avatar de MightyJean
Membre habitué https://www.developpez.com
Le 09/08/2013 à 21:19
Citation Envoyé par Johnny P. Voir le message
Quand je pense que certains disent sous linux il n'y a pas de virus.

Grâce à son code source ils ont de quoi mettre au point des virus plus efficaces.
Sauf que, je peux me tromper, je n'ai vu nulle part mention d'une faille du système en lui-même (en même temps, ils ne parlent pas du tout de cet aspect...), la seule faille que je vois d'ici c'est l'interface chaise-clavier puisque le principal vecteur d'infection semble être les mails et les réseaux sociaux (impliquant donc une action de l'utilisateur).

Sans faille permettant d'obtenir les privilèges root (ou en tout cas des privilèges suffisants pour s'installer) et sans action volontaire de l'utilisateur je ne vois pas vraiment comment il pourrait se loger sur une machine et causer des dégâts...
6  1 
frp31
Avatar de frp31
Expert éminent sénior https://www.developpez.com
Le 09/08/2013 à 13:57
C'est loin d'être le premier virus/malware efficace sous linux, mais à ma connaissance le plus sophistiqué dont j'ai entendu parler.
Maintenant qu'il est plus ou moins bien identifié, les correctifs vont suivre mais la réputation de linux, et de sa sécurité en prend un coup
4  1 
dsant
Avatar de dsant
Nouveau membre du Club https://www.developpez.com
Le 09/08/2013 à 21:17
Bof, developer un cheval de troie c'est à la porté de (presque) tout le monde. La valeur ajouté, c'est de l'introduire. Et là, le logiciel ouvert c'est du béton
4  1 
redcurve
Avatar de redcurve
Inactif https://www.developpez.com
Le 09/08/2013 à 23:48
Citation Envoyé par dsant Voir le message
Bof, developer un cheval de troie c'est à la porté de (presque) tout le monde. La valeur ajouté, c'est de l'introduire. Et là, le logiciel ouvert c'est du béton
Pas forcément suffit d'utiliser la bonne vieille technique de l'attaque transversale tu ne peux rien faire contre ça mis à part avoir un système de sécurité proactif et donc un antivirus et être prudent vis à vis de la provenance de tes softs.

Depuis longtemps maintenant il est devenu extrêmement compliqué de balancé un troyen ou autre sur un OS quel qu'il soit. D'où l'explosion du sociale engineering et des attaques transversale. Comme il n'est plus possible de véroler un Os à distance tu pousse l'utilisateur à ce véroler.
3  0 
redcurve
Avatar de redcurve
Inactif https://www.developpez.com
Le 10/08/2013 à 13:16
Citation Envoyé par tepaze Voir le message
C'est quoi une attaque transversale ?

Merci :-)
Une attaque transversale ça consiste à ajouter ton malware dans un soft tout à fait légitime.
Exemple tu pompe l'installeur d’Acrobat reader qui est bien connu, tu refais un package d'installation incluant ton malware et l'installer d'adobe reader (tu le modifie pas).

Au moment de s'installer l'os va demander les droits admin parce que bien entendu ton installeur veut accéder à ta base de registre et à des répertoires protégés %ProgramFiles% etc. Donc tu donnes les droits à l'installeur.

Et là c'est magique comme nos Os applique automatiquement l'héritage des privilèges, l'installeur lance l'exécution du malware , et ensuite celle d'acrobat reader.

Donc tu t'es infecté et tu n'as aucun moyen de le savoir puisque l'installation c'est déroulé de façon tout à fait normale.

La solution est système de sécu proactif et faire attention à la provenance des logiciels.

A noter que tu peux très bien faire un malware qui fonctionne uniquement en espace utilisateur et la pas besoin de droit admin, il y a eu plusieurs malware de ce type sous Osx par exemple.

Les attaques transversale vont je pense beaucoup diminuer parce que depuis Vista Ms inclus son AV, Apple de son coté à enfin décidé de se bouger et de mettre un anti malware dans OsX.

Sous Linux la menace est différente c'est plutôt les vers qui menacent. Les attaques ne sont pas les mêmes selon la population des utilisateurs en fait.
3  0 
herzleid
Avatar de herzleid
Membre confirmé https://www.developpez.com
Le 12/08/2013 à 10:35
N'oublie pas que l'installation des programmes ne se fait pas de la même façon sous Linux. Les dépôts signés protègent de ce genre d'artifice. Par contre les extensions des navigateurs, par exemple, deviennent un problème, tout OS confondu.

De la même façon, par défaut sur la plus part des distrib, un fichier n'est pas exécutable, donc pour le rendre exécutable, il faut que l'attaquant exploite une faille de mon navigateur lui permettant, après téléchargement du fichier, de lui ajouter explicitement les droits d'exécution.

Donc non je crois pas que le modèle de sécurité sous linux soit réellement attaqué. Peut-être que le windowsien fraichement passé sous linux et qui continue à essayer d'installer des trucs hors dépôts, ou à valider tous ce qu'on lui propose oui.
3  0 
matios
Avatar de matios
Nouveau membre du Club https://www.developpez.com
Le 09/08/2013 à 16:27
Cela voudrait dire que les chercheurs de RSA ont acheté le virus. En gros ils contribuent à son évolution
2  0 
Shuty
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 09/08/2013 à 16:45
Citation Envoyé par Hinault Romaric Voir le message


Les chercheurs de RSA ont pu obtenir le code source de la partie serveur du malware et étudient actuellement le moyen de le contrer.

C'est la partie la plus intéressante qui manquante... Comment se sont-ils procuré la partie serveur...? PRISM ?

Cela voudrait dire que les chercheurs de RSA ont acheté le virus. En gros ils contribuent à son évolution
Quand il est dit la partie serveur, j'entends par là, la partie serveur de mise a jour....
2  0 
Lupus Michaelis
Avatar de Lupus Michaelis
Membre du Club https://www.developpez.com
Le 15/08/2013 à 13:07
Il y a quelques points qui semblent avoir mal traduit, et qui peuvent induire en erreur :

Le malware serait capable de détecter la présence d’un d’environnement virtuel
En lisant ça, j'ai pensé à un petit virtualenv, mais en fait, pas du tout. L'article parle bien de machines virtuelles, ce qui n'a rien à voir avec les environnements virtuels.

Le vecteur d’infection serait les mails et les réseaux sociaux.
L'article ne parle pas de réseaux sociaux comme vecteur d'infection, mais de social engineering. Certes, ce serait utilisé, pour par exemple récupérer le nom de jeune fille de maman, mais ce n'est pas ce que l'article stipule.

Bref, il semblerait que le tojan n'ait absolument rien à voir avec Linux. Je parie 100 € qu'il fonctionne aussi sur FreeBSD, où serait installé quelques navigateurs open source typiques. Dans l'absolu, ceci n'est une menace que si on utilise son Linux comme un Microsoft Windows (utilisateur unique, sudo dans tous les sens, ajout compulsif de dépôts logiciels, installation de plugins sans vérifier le source, etc).
2  0 
Aiekick
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 10/08/2013 à 13:35
vecteur d'infection par un soft de confiance, d’où l’importance de vérifier la provenance du soft..
2  1 
Commenter Signaler un problème