Des chercheurs en cybersécurité ont découvert un nouveau malware furtif sous Linux qui exploite une technique non conventionnelle pour assurer la persistance sur les systèmes infectés et masquer le code d’écrémage des cartes de crédit.
Le malware, attribué à un acteur malveillant motivé par des raisons financières, a été nommé sedexp par l’équipe des services de réponse aux incidents Stroz Friedberg d’Aon.
« Cette menace avancée, active depuis 2022, se cache à la vue de tous tout en offrant aux attaquants des capacités de camouflage inversé et des tactiques de dissimulation avancées », ont déclaré les chercheurs Zachary Reichert, Daniel Stein et Joshua Pivirotto. dit.
Il n’est pas surprenant que les acteurs malveillants improvisent et perfectionnent constamment leur savoir-faire et se soient tournés vers de nouvelles techniques pour échapper à la détection.
Ce qui rend sedexp remarquable est son utilisation des règles udev pour maintenir la persistance. Udev, remplacement du système de fichiers de périphériques, offres un mécanisme permettant d’identifier les périphériques en fonction de leurs propriétés et de configurer des règles pour réagir lorsqu’un changement se produit dans l’état du périphérique, c’est-à-dire lorsqu’un périphérique est branché ou retiré.
Chaque ligne du fichier de règles udev contient au moins une paire clé-valeur, ce qui permet de faire correspondre les périphériques par nom et de déclencher certaines actions lorsque divers événements de périphérique sont détectés (par exemple, déclencher une sauvegarde automatique lorsqu’un lecteur externe est connecté).
« Une règle de correspondance peut spécifier le nom du nœud de périphérique, ajouter des liens symboliques pointant vers le nœud ou exécuter un programme spécifié dans le cadre de la gestion des événements », SUSE Linux Remarques dans sa documentation. « Si aucune règle correspondante n’est trouvée, le nom du nœud de périphérique par défaut est utilisé pour créer le nœud de périphérique. »
La règle udev pour sedexp — ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” — est configurée de telle sorte que le malware soit exécuté chaque fois que /dev/random (correspond à appareil mineur numéro 8) est chargé, ce qui se produit généralement à chaque redémarrage.
Autrement dit, le programme spécifié dans le paramètre RUN est exécuté à chaque redémarrage du système.
Le malware est doté de capacités permettant de lancer un shell inversé pour faciliter l’accès à distance à l’hôte compromis, ainsi que de modifier la mémoire pour masquer tout fichier contenant la chaîne « sedexp » à des commandes telles que ls ou find.
Stroz Friedberg a déclaré que dans les cas étudiés, cette capacité a été utilisée pour masquer des shells Web, des fichiers de configuration Apache modifiés et la règle udev elle-même.
« Le malware a été utilisé pour cacher un code de récupération de carte de crédit sur un serveur Web, ce qui indique une volonté de gain financier », ont déclaré les chercheurs. « La découverte de sedexp démontre la sophistication croissante des acteurs de la menace motivés par des raisons financières au-delà des ransomwares. »