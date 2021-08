Les chercheurs en cybersécurité ont découvert plusieurs binaires Linux malveillants qui ont réussi à contourner la plupart des produits antivirus.

En y regardant de plus près, les chercheurs d’AT&T Alien Labs ont identifié ces binaires comme des versions modifiées de la porte dérobée open source Prism qui a déjà été utilisée dans plusieurs campagnes.

«Nous avons mené une enquête plus approfondie sur les échantillons et découvert que plusieurs campagnes utilisant ces exécutables malveillants ont réussi à rester actives et sous le radar pendant plus de 3,5 ans. Les échantillons les plus anciens qu’Alien Labs puisse attribuer à l’un des acteurs datent du 8 novembre 2017 », notent les chercheurs.

Appelant Prism une porte dérobée « simple et directe » facile à détecter, les chercheurs notent que le fait que les binaires modifiés aient réussi à échapper à la détection pendant plusieurs années est peut-être le résultat de l’infrastructure de sécurité concentrant ses efforts sur des campagnes plus importantes, permettant aux plus petites de glisser à travers les interstices.

Sous le radar

L’une des variantes analysées par les chercheurs, nommée WaterDrop, est facilement identifiable, mais parvient toujours à maintenir un score de détection proche de zéro dans la base de données VirusTotal. De plus, WaterDrop communique avec son serveur de commande et de contrôle (C2) via HTTP en texte brut.

En suivant l’évolution du malware, les chercheurs notent que beaucoup utilisent le même serveur C2. Alors que les variantes antérieures du malware n’implémentent aucun des mécanismes courants utilisés par les auteurs de malwares pour éviter d’être signalés, tels que l’obscurcissement et le cryptage, les variantes les plus récentes le font, avec quelques autres modifications.

Les chercheurs pensent que ces portes dérobées passent inaperçues car elles sont généralement utilisées dans des campagnes plus petites.

« Alien Labs s’attend à ce que les adversaires restent actifs et mènent des opérations avec cet ensemble d’outils et cette infrastructure. Nous continuerons de surveiller et de signaler toute découverte notable », concluent les chercheurs.