{"id":192149,"date":"2022-06-09T11:21:36","date_gmt":"2022-06-09T13:21:36","guid":{"rendered":"https:\/\/teknomers.com\/fr\/symbiote-un-malware-linux-furtif-ciblant-le-secteur-financier-latino-americain\/"},"modified":"2022-06-09T11:21:37","modified_gmt":"2022-06-09T13:21:37","slug":"symbiote-un-malware-linux-furtif-ciblant-le-secteur-financier-latino-americain","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/symbiote-un-malware-linux-furtif-ciblant-le-secteur-financier-latino-americain\/","title":{"rendered":"Symbiote\u00a0: un malware Linux furtif ciblant le secteur financier latino-am\u00e9ricain"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9voil\u00e9 ce qu&#8217;ils appellent un logiciel malveillant Linux &#8220;presque impossible \u00e0 d\u00e9tecter&#8221; qui pourrait \u00eatre transform\u00e9 en arme pour des syst\u00e8mes infect\u00e9s par des portes d\u00e9rob\u00e9es.<\/p>\n<p>Doubl\u00e9 <strong>Symbiote<\/strong> par les soci\u00e9t\u00e9s de renseignement sur les menaces BlackBerry et Intezer, le malware furtif est ainsi nomm\u00e9 pour sa capacit\u00e9 \u00e0 se dissimuler dans les processus en cours d&#8217;ex\u00e9cution et le trafic r\u00e9seau et \u00e0 drainer les ressources d&#8217;une victime comme un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Symbiosis\" target=\"_blank\">parasite<\/a>.<\/p>\n<p>On pense que les op\u00e9rateurs derri\u00e8re Symbiote ont commenc\u00e9 le d\u00e9veloppement du malware en novembre 2021, l&#8217;acteur mena\u00e7ant l&#8217;utilisant principalement pour cibler le secteur financier en Am\u00e9rique latine, y compris des banques comme Banco do Brasil et Caixa.<\/p>\n<p>&#8220;L&#8217;objectif principal de Symbiote est de capturer les informations d&#8217;identification et de faciliter l&#8217;acc\u00e8s par une porte d\u00e9rob\u00e9e \u00e0 la machine de la victime&#8221;, ont d\u00e9clar\u00e9 les chercheurs Joakim Kennedy et Ismael Valenzuela dans un communiqu\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.blackberry.com\/en\/2022\/06\/symbiote-a-new-nearly-impossible-to-detect-linux-threat\" target=\"_blank\">rapport<\/a> partag\u00e9 avec The Hacker News.  &#8220;Ce qui diff\u00e9rencie Symbiote des autres logiciels malveillants Linux, c&#8217;est qu&#8217;il infecte les processus en cours d&#8217;ex\u00e9cution plut\u00f4t que d&#8217;utiliser un fichier ex\u00e9cutable autonome pour infliger des dommages.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/soc2-gitprotect\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Le-package-PyPI-populaire-ctx-et-la-bibliotheque-PHP-phpass.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Il y parvient en tirant parti d&#8217;une fonctionnalit\u00e9 Linux native appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/006\/\" target=\"_blank\">LD_PRELOAD<\/a> &#8211; une m\u00e9thode pr\u00e9c\u00e9demment employ\u00e9e par des logiciels malveillants tels que Pro-Ocean et Facefish &#8211; afin d&#8217;\u00eatre charg\u00e9e par le <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Dynamic_linker\" target=\"_blank\">lieur dynamique<\/a> dans tous les processus en cours d&#8217;ex\u00e9cution et infecter l&#8217;h\u00f4te.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"398\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1654780896_461_Symbiote-un-malware-Linux-furtif-ciblant-le-secteur-financier-latino-americain.jpg\" \/><\/div>\n<p>En plus de cacher sa pr\u00e9sence sur le syst\u00e8me de fichiers, Symbiote est \u00e9galement capable de masquer son trafic r\u00e9seau en utilisant la fonction \u00e9tendue Berkeley Packet Filter (eBPF).  Ceci est r\u00e9alis\u00e9 en s&#8217;injectant dans le processus d&#8217;un logiciel d&#8217;inspection et en utilisant BPF pour filtrer les r\u00e9sultats qui r\u00e9v\u00e9leraient son activit\u00e9.<\/p>\n<p>Lors du d\u00e9tournement de tous les processus en cours d&#8217;ex\u00e9cution, Symbiote active la fonctionnalit\u00e9 rootkit pour masquer davantage les preuves de sa pr\u00e9sence et fournit une porte d\u00e9rob\u00e9e permettant \u00e0 l&#8217;auteur de la menace de se connecter \u00e0 la machine et d&#8217;ex\u00e9cuter des commandes privil\u00e9gi\u00e9es.  Il a \u00e9galement \u00e9t\u00e9 observ\u00e9 que les informations d&#8217;identification captur\u00e9es sont crypt\u00e9es dans des fichiers se faisant passer pour <a rel=\"nofollow noopener\" href=\"https:\/\/gcc.gnu.org\/onlinedocs\/cpp\/Header-Files.html\" target=\"_blank\">en-t\u00eate C<\/a> des dossiers.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Ce n&#8217;est pas la premi\u00e8re fois qu&#8217;un logiciel malveillant dot\u00e9 de capacit\u00e9s similaires est rep\u00e9r\u00e9 dans la nature.  En f\u00e9vrier 2014, ESET a r\u00e9v\u00e9l\u00e9 une porte d\u00e9rob\u00e9e Linux appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2014\/02\/21\/an-in-depth-analysis-of-linuxebury\/\" target=\"_blank\">\u00c9bury<\/a> qui est con\u00e7u pour voler les informations d&#8217;identification OpenSSH et maintenir l&#8217;acc\u00e8s \u00e0 un serveur compromis.<\/p>\n<p>&#8220;\u00c9tant donn\u00e9 que le logiciel malveillant fonctionne comme un rootkit au niveau de l&#8217;utilisateur, il peut \u00eatre difficile de d\u00e9tecter une infection&#8221;, ont conclu les chercheurs.  &#8220;La t\u00e9l\u00e9m\u00e9trie r\u00e9seau peut \u00eatre utilis\u00e9e pour d\u00e9tecter les requ\u00eates DNS anormales et les outils de s\u00e9curit\u00e9 tels que les AV et les EDR doivent \u00eatre li\u00e9s de mani\u00e8re statique pour s&#8217;assurer qu&#8217;ils ne sont pas&#8221; infect\u00e9s &#8220;par les rootkits de l&#8217;espace utilisateur.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/symbiote-stealthy-linux-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9voil\u00e9 ce qu&#8217;ils appellent un logiciel malveillant Linux &#8220;presque impossible \u00e0 d\u00e9tecter&#8221; qui pourrait \u00eatre transform\u00e9 en arme pour des syst\u00e8mes infect\u00e9s par des portes d\u00e9rob\u00e9es. Doubl\u00e9 Symbiote par les soci\u00e9t\u00e9s de renseignement sur les menaces BlackBerry et Intezer, le malware furtif est ainsi nomm\u00e9 pour sa capacit\u00e9 \u00e0 se [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":192150,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4175,4168,4158,4165,4161,643,76165,4157,4159,4171,4170,76166,18088,4167,4174,4160,4163,4162,3205,4172,4169,76164,4166,4164],"class_list":["post-192149","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-financier","tag-furtif","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-latinoamericain","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-malware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-secteur","tag-securite-informatique","tag-securite-internet","tag-symbiote","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/192149","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=192149"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/192149\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/192150"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=192149"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=192149"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=192149"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}