Découverte d'un nouveau malware Linux

Un malware découvert dans le sous-système Windows pour Linux

Black Lotus Labs a révélé avoir découvert un nouveau Malware qui utilise le sous-système Windows pour Linux (WSL) afin d’échapper aux mécanismes de sécurité. Le logiciel malveillant aurait été distribué via des fichiers ELF.

Attaquer secrètement les PC cibles

WSL a fait ses débuts en 2016 parallèlement à la mise à jour anniversaire de Windows 10. C’était un moyen d’accéder aux outils GNU et Linux sans avoir à démarrer sur un autre système d’exploitation. À l’origine, cet outil ne fournissait pas un véritable accès au noyau Linux. Celui-ci utilisait un noyau compatible développé par Microsoft. Mais cela a changé lorsque WSL 2 est arrivé en juin 2019.

Cette version a officiellement apporté le noyau Linux à Windows. Il s’agit généralement d’une bonne chose pour les utilisateurs qui ne veulent pas s’embêter avec le double démarrage ou l’utilisation d’un environnement de machine virtuelle différent. Mais il s’avère que cela pose également un risque de sécurité. Black Lotus Labs a déclaré que le logiciel malveillant qu’il avait trouvé avait été utilisé pour attaquer secrètement des PC cibles.

Malware distribué via des fichiers ELF

Les chercheurs ont déclaré que le Malware était distribué via des fichiers ELF (Executable and Linkable Format) destinés à fonctionner sur Debian (une distribution Linux populaire) et ses dérivés. Dans certains cas, ces fichiers contenaient une charge utile destinée à un PC cible. Dans d’autres, ils ont reçu une charge utile de l’infrastructure de commande et de contrôle à distance.

Découverte d'un nouveau malware Linux

Black Lotus Labs a trouvé plusieurs versions des fichiers ELF malveillants. L’un aurait été écrit exclusivement en Python à l’aide de bibliothèques standards qui lui permettraient de cibler à la fois les systèmes Linux et Windows. Un autre a utilisé PowerShell, le shell de commande et le langage de script de Microsoft pour interagir avec des API Windows spécifiques.

Le premier cas d’un acteur abusant de WSL ?

Les chercheurs ont déclaré que le Malware pourrait permettre à un acteur d’accéder à une machine infectée sans être détecté. VirusTotal qui permet de vérifier des fichiers suspects et qui facilite la détection des virus l’a prouvé. Le taux de détection était de 0 ou de 1. Selon les chercheurs en sécurité de Black Lotus Labs, ce petit ensemble d’échantillons démontre le premier cas d’un acteur abusant de WSL pour installer des charges utiles ultérieures. 

Les chercheurs espèrent pouvoir aider à améliorer la détection et l’alerte avant que l’utilisation de ce Malware ne s’étende. En attendant, Black Lotus Labs demande aux utilisateurs de WSL de s’assurer qu’ils utilisent une journalisation appropriée pour empêcher que ce type de Malware ne soit largement utilisé.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest