Dr Web, l'éditeur russe de solutions de sécurité a découvert un autre cheval de Troie qui prend des captures d'écran lorsqu'il accède à un dispositif tournant sur Linux et enregistre les saisies de clavier. Les chercheurs pensent que Linux.BackDoor.Xunpes.1, le cheval de Troie Linux, a été conçu pour viser les DAB (distributeurs automatiques de billets) Bitcoins de Pay MaQ, une startup basée en Espagne.
Les chercheurs ont indiqué que le cheval de Troie Linux se compose d'un injecteur (pour installer le logiciel malveillant sur le système cible) et d'une charge utile placée sur l'appareil infecté qui remplit les fonctions de base des logiciels espions. C'est l'injecteur qui va lancer une page d'identification portant le logo Pay MaQ.
Une fois que l'injecteur a été installé, une porte dérobée est sauvegardée dans le fichier /tmp/.ltmp/, porte dérobée qui va servir à établir une connexion chiffrée avec un serveur de commande et contrôle (C&C) depuis lequel seront lancées de nombreuses commandes comme prendre des captures d'écran, enregistrer les saisies clavier puis retransmettre les données résultantes.
Malgré la présence du logo de Pay MaQ sur la page d'identification, un porte-parole de Dr Web a fait savoir que les chercheurs ne sont pas encore fixés sur la question de savoir si le logiciel malveillant a été conçu spécialement pour viser les DAB Bitcoins de Pay MaQ.
L'injecteur contient également trois couples noms d'utilisateurs et mots de passe associés relatifs au cheval de Troie. La page d'identification va retourner un message d'erreur (« ID utilisateur ou mot de passe incorrect. S'il vous plaît, veuillez essayer de nouveau ») à moins que ces identifiants ne soient utilisés. Les chercheurs ont supposé que les mots de passe sont juste une information de débogage que les éditeurs du logiciel malveillant ont oublié d'enlever.
Linux.BackDoor.Xunpes.1 est le second logiciel malveillant s'attaquant à des machines tournant sur Linux sur lequel Dr Web a mis le doigt en l'espace d'une semaine. Le précédent, Linux.Ekoms.1, a été conçu pour effectuer des captures d’écran toutes les trente secondes, dès lors qu'il a accès à une machine sous Linux, et envoyer les données à un serveur distant. Dr Web avait également souligné qu’en plus d’être capable d’effectuer des captures d’écran, « le code du cheval de Troie contient une fonctionnalité spéciale lui permettant d’enregistrer les sons et de les sauvegarder dans un fichier .aat au format WAV. Cependant, il apparaît que cette fonction n’est utilisée nulle part ».
Cependant, l'éditeur n'a pas encore été en mesure d'expliquer comment sont diffusées les infections de ces deux chevaux de Troie : « l'enquête suit son cours. Le serveur C & C était hébergé sur un site web suspect qui affichait une erreur 403 (accès refusé) il y a quelques jours. Il est possible que les victimes aient téléchargé le logiciel malveillant de ce site et il a été fermé après avoir obtenu l'attention des spécialistes d'InfoSec ».
Source : Dr Web
Voir aussi :
Dr Web détecte sur Linux un nouveau cheval de Troie qui espionne les utilisateurs en effectuant régulièrement des captures d'écran du système