IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Linux Discussion :

Linux : des chercheurs découvrent un Cheval de Troie bancaire sophistiqué


Sujet :

Linux

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Linux : des chercheurs découvrent un Cheval de Troie bancaire sophistiqué
    Linux : des chercheurs découvrent un Cheval de Troie bancaire sophistiqué
    « Hand of Thief » commercialisé sur le marché noir par ses développeurs

    Contrairement à Windows qui est la cible favorite des pirates, les utilisateurs de Linux ont pratiquement été toujours à l’abri des attaques malveillantes.

    En dehors de quelques exploits touchant essentiellement les serveurs Linux, on entend très peu parler de Cheval de Troie ou de virus informatique sur Linux. Ce qui pourrait cependant changer.

    Des pirates ont développé un Cheval de Troie bancaire qui cible essentiellement les utilisateurs des systèmes d’exploitation Linux.

    Le virus a été découvert par Limor Kessem, un chercheur en sécurité de RSA, qui révèle que le Cheval de Troie est vendu sur le marché noir, dans un forum de cybercriminalité pour 2 000 dollars, avec 550 dollars de frais pour les mises à jour majeures qui apporteront de nouvelles fonctionnalités.

    Baptisé « Hand of Thief », le malware dispose d’un formulaire permettant de capturer des sessions HTTP et HTTPS sur une variété de navigateurs (y compris Firefox et Chrome), de routines pour bloquer l’accès aux mises à jour de sécurité ou aux sites Web des éditeurs d’antivirus, et de capacités de backdoor.


    Le malware serait capable de détecter la présence d’un d’environnement virtuel, les bacs à sable, les débogueurs et de stopper son exécution dans un certain environnement, ce qui rendrait difficile la détection et l’analyse de celui-ci par des chercheurs en sécurité.

    Il est prévu que « Hand of Thief » soit doté d’une série de fonctionnalités pour les injections Web et d’autres améliorations pour devenir un malware bancaire à part entière.

    Pire encore, le programme malveillant a été testé avec succès sur près de quinze distributions Linux (Ubuntu, Fedora, Debian, Mint, etc.) et sur huit environnements de bureau différents (y compris Gnome et KDE), par les pirates russes qui l’ont développé.

    Le vecteur d’infection serait les mails et les réseaux sociaux.

    Les chercheurs de RSA ont pu obtenir le code source de la partie serveur du malware et étudient actuellement le moyen de le contrer.


    Source : RSA


    Et vous ?

    Que pensez-vous de cette menace ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Expert éminent sénior Avatar de frp31
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Juillet 2006
    Messages
    5 196
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juillet 2006
    Messages : 5 196
    Points : 12 264
    Points
    12 264
    Par défaut
    C'est loin d'être le premier virus/malware efficace sous linux, mais à ma connaissance le plus sophistiqué dont j'ai entendu parler.
    Maintenant qu'il est plus ou moins bien identifié, les correctifs vont suivre mais la réputation de linux, et de sa sécurité en prend un coup

  3. #3
    Membre à l'essai
    Homme Profil pro
    Inscrit en
    Juin 2010
    Messages
    20
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Juin 2010
    Messages : 20
    Points : 18
    Points
    18
    Par défaut
    Je ne suis pas sur de comprendre...

    le malware dispose d’un formulaire permettant de capturer des sessions HTTP et HTTPS sur une variété de navigateurs (y compris Firefox et Chrome)
    N'est pas une faille côté navigateur ?

    ---
    http://supcamer.cm

  4. #4
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Octobre 2011
    Messages
    71
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Octobre 2011
    Messages : 71
    Points : 39
    Points
    39
    Par défaut
    Cela voudrait dire que les chercheurs de RSA ont acheté le virus. En gros ils contribuent à son évolution

  5. #5
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    Octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2012
    Messages : 630
    Points : 1 174
    Points
    1 174
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message

    Les chercheurs de RSA ont pu obtenir le code source de la partie serveur du malware et étudient actuellement le moyen de le contrer.
    C'est la partie la plus intéressante qui manquante... Comment se sont-ils procuré la partie serveur...? PRISM ?

    Cela voudrait dire que les chercheurs de RSA ont acheté le virus. En gros ils contribuent à son évolution
    Quand il est dit la partie serveur, j'entends par là, la partie serveur de mise a jour....
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  6. #6
    Membre actif
    Inscrit en
    Février 2006
    Messages
    311
    Détails du profil
    Informations forums :
    Inscription : Février 2006
    Messages : 311
    Points : 253
    Points
    253
    Par défaut
    Quand je pense que certains disent sous linux il n'y a pas de virus.

    Grâce à son code source ils ont de quoi mettre au point des virus plus efficaces.

  7. #7
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Novembre 2003
    Messages
    48
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2003
    Messages : 48
    Points : 33
    Points
    33
    Par défaut
    Bof, developer un cheval de troie c'est à la porté de (presque) tout le monde. La valeur ajouté, c'est de l'introduire. Et là, le logiciel ouvert c'est du béton

  8. #8
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    Octobre 2008
    Messages
    34
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Meuse (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Octobre 2008
    Messages : 34
    Points : 141
    Points
    141
    Par défaut
    Citation Envoyé par Johnny P. Voir le message
    Quand je pense que certains disent sous linux il n'y a pas de virus.

    Grâce à son code source ils ont de quoi mettre au point des virus plus efficaces.
    Sauf que, je peux me tromper, je n'ai vu nulle part mention d'une faille du système en lui-même (en même temps, ils ne parlent pas du tout de cet aspect...), la seule faille que je vois d'ici c'est l'interface chaise-clavier puisque le principal vecteur d'infection semble être les mails et les réseaux sociaux (impliquant donc une action de l'utilisateur).

    Sans faille permettant d'obtenir les privilèges root (ou en tout cas des privilèges suffisants pour s'installer) et sans action volontaire de l'utilisateur je ne vois pas vraiment comment il pourrait se loger sur une machine et causer des dégâts...

  9. #9
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Juin 2010
    Messages
    794
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2010
    Messages : 794
    Points : 987
    Points
    987
    Par défaut
    Citation Envoyé par dsant Voir le message
    Bof, developer un cheval de troie c'est à la porté de (presque) tout le monde. La valeur ajouté, c'est de l'introduire. Et là, le logiciel ouvert c'est du béton
    Pas forcément suffit d'utiliser la bonne vieille technique de l'attaque transversale tu ne peux rien faire contre ça mis à part avoir un système de sécurité proactif et donc un antivirus et être prudent vis à vis de la provenance de tes softs.

    Depuis longtemps maintenant il est devenu extrêmement compliqué de balancé un troyen ou autre sur un OS quel qu'il soit. D'où l'explosion du sociale engineering et des attaques transversale. Comme il n'est plus possible de véroler un Os à distance tu pousse l'utilisateur à ce véroler.

  10. #10
    Membre habitué
    Profil pro
    Inscrit en
    Mai 2010
    Messages
    201
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2010
    Messages : 201
    Points : 150
    Points
    150
    Par défaut
    Citation Envoyé par redcurve Voir le message
    Pas forcément suffit d'utiliser la bonne vieille technique de l'attaque transversale...
    C'est quoi une attaque transversale ?

    Merci :-)

  11. #11
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Juin 2010
    Messages
    794
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2010
    Messages : 794
    Points : 987
    Points
    987
    Par défaut
    Citation Envoyé par tepaze Voir le message
    C'est quoi une attaque transversale ?

    Merci :-)
    Une attaque transversale ça consiste à ajouter ton malware dans un soft tout à fait légitime.
    Exemple tu pompe l'installeur d’Acrobat reader qui est bien connu, tu refais un package d'installation incluant ton malware et l'installer d'adobe reader (tu le modifie pas).

    Au moment de s'installer l'os va demander les droits admin parce que bien entendu ton installeur veut accéder à ta base de registre et à des répertoires protégés %ProgramFiles% etc. Donc tu donnes les droits à l'installeur.

    Et là c'est magique comme nos Os applique automatiquement l'héritage des privilèges, l'installeur lance l'exécution du malware , et ensuite celle d'acrobat reader.

    Donc tu t'es infecté et tu n'as aucun moyen de le savoir puisque l'installation c'est déroulé de façon tout à fait normale.

    La solution est système de sécu proactif et faire attention à la provenance des logiciels.

    A noter que tu peux très bien faire un malware qui fonctionne uniquement en espace utilisateur et la pas besoin de droit admin, il y a eu plusieurs malware de ce type sous Osx par exemple.

    Les attaques transversale vont je pense beaucoup diminuer parce que depuis Vista Ms inclus son AV, Apple de son coté à enfin décidé de se bouger et de mettre un anti malware dans OsX.

    Sous Linux la menace est différente c'est plutôt les vers qui menacent. Les attaques ne sont pas les mêmes selon la population des utilisateurs en fait.

  12. #12
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 537
    Points : 3 909
    Points
    3 909
    Par défaut
    vecteur d'infection par un soft de confiance, d’où l’importance de vérifier la provenance du soft..

  13. #13
    Membre confirmé Avatar de herzleid
    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    Juin 2002
    Messages
    393
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Directeur des systèmes d'information

    Informations forums :
    Inscription : Juin 2002
    Messages : 393
    Points : 509
    Points
    509
    Par défaut
    N'oublie pas que l'installation des programmes ne se fait pas de la même façon sous Linux. Les dépôts signés protègent de ce genre d'artifice. Par contre les extensions des navigateurs, par exemple, deviennent un problème, tout OS confondu.

    De la même façon, par défaut sur la plus part des distrib, un fichier n'est pas exécutable, donc pour le rendre exécutable, il faut que l'attaquant exploite une faille de mon navigateur lui permettant, après téléchargement du fichier, de lui ajouter explicitement les droits d'exécution.

    Donc non je crois pas que le modèle de sécurité sous linux soit réellement attaqué. Peut-être que le windowsien fraichement passé sous linux et qui continue à essayer d'installer des trucs hors dépôts, ou à valider tous ce qu'on lui propose oui.

  14. #14
    Membre régulier
    Profil pro
    Inscrit en
    Mars 2011
    Messages
    83
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2011
    Messages : 83
    Points : 72
    Points
    72
    Par défaut
    Citation Envoyé par herzleid Voir le message
    Par contre les extensions des navigateurs, par exemple, deviennent un problème, tout OS confondu.
    Sous Linux, je ne crois pas. Normalement, elles doivent être dans le /home/compte-utilisateur/ avec des permissions réduites (chmod 700).

    Là où je vous rejoins dans votre réflexion est qu'une extension peut être elle même le problème. Elle propose des gadgets sympas (smileys, barre de recherches) et en fait, elle envoie l'historique des pages avec le petit keyboard recorder.

    Perso, je pense que Linux a encore de beaux jours devant lui. Pourquoi s'attaquer à 2% (Desktop) ? Pour les serveurs, c'est une autre paires de manches je pense.

    La plupart du temps, les virus viennent de l'erreur humaine... (Une clef usb trouvée dans des locaux, à qui appartient elle ?)

  15. #15
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2012
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haut Rhin (Alsace)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2012
    Messages : 17
    Points : 59
    Points
    59
    Par défaut Lost in translation
    Il y a quelques points qui semblent avoir mal traduit, et qui peuvent induire en erreur :

    Le malware serait capable de détecter la présence d’un d’environnement virtuel
    En lisant ça, j'ai pensé à un petit virtualenv, mais en fait, pas du tout. L'article parle bien de machines virtuelles, ce qui n'a rien à voir avec les environnements virtuels.

    Le vecteur d’infection serait les mails et les réseaux sociaux.
    L'article ne parle pas de réseaux sociaux comme vecteur d'infection, mais de social engineering. Certes, ce serait utilisé, pour par exemple récupérer le nom de jeune fille de maman, mais ce n'est pas ce que l'article stipule.

    Bref, il semblerait que le tojan n'ait absolument rien à voir avec Linux. Je parie 100 € qu'il fonctionne aussi sur FreeBSD, où serait installé quelques navigateurs open source typiques. Dans l'absolu, ceci n'est une menace que si on utilise son Linux comme un Microsoft Windows (utilisateur unique, sudo dans tous les sens, ajout compulsif de dépôts logiciels, installation de plugins sans vérifier le source, etc).

  16. #16
    Nouveau Candidat au Club
    Homme Profil pro
    Inscrit en
    Août 2013
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Août 2013
    Messages : 1
    Points : 1
    Points
    1
    Par défaut
    Citation Envoyé par redcurve Voir le message
    ...Et là c'est magique comme nos Os applique automatiquement l'héritage des privilèges, l'installeur lance l'exécution du malware , et ensuite celle d'acrobat reader.

    Donc tu t'es infecté et tu n'as aucun moyen de le savoir puisque l'installation c'est déroulé de façon tout à fait normale.
    Nos OS ??? Tu es sûr ?

    La solution est système de sécu proactif et faire attention à la provenance des logiciels.
    Et réfléchir avant de cliquer...

    Sous Linux la menace est différente
    C'est précisement l'unique objet de cette discussion.

  17. #17
    Membre chevronné
    Avatar de Pelote2012
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2008
    Messages
    925
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 925
    Points : 1 839
    Points
    1 839
    Billets dans le blog
    2
    Par défaut
    Bah de toute façon tout OS est la cible potentiel d'attaque... maintenant on sait que les Hackers préfères les plus populaires car font plus de dégâts. maintenant, c'est un bon créneau de se tourner vers les OS ayant la réputation de n'être pas attaquer ... comme ça personne se méfie.

    Perso, ce qui m'intéresse c'est qu'ils ont découvert le le bidai sur un site de piratage, lol, maintenant, s'ils espionnent les hackers, ils vont se faire de nouveaux copains
    Si débugger est l'art d'enlever les bugs ... alors programmer est l'art de les créer

  18. #18
    Membre averti
    Profil pro
    Inscrit en
    Mars 2013
    Messages
    397
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2013
    Messages : 397
    Points : 424
    Points
    424
    Par défaut
    Citation Envoyé par BROWNY Voir le message
    Perso, ce qui m'intéresse c'est qu'ils ont découvert le le bidai sur un site de piratage, lol, maintenant, s'ils espionnent les hackers, ils vont se faire de nouveaux copains
    Ca dépend..
    Beaucoup de hacker, dans le vrai sens du terme, ne supportent pas ce genre de chose.
    Perso je ne considère pas ces gens comme des hackers mais plutôt comme des racailles du web.

    Le hack c'est avant tout un esprit, comprendre comment les choses fonctionnent, les modifier etc.. Mais pas forcément faire des choses illégales.

    Des fois j'ai l'impression que ce genre de mec se disent "Vite, il faut que j'apprenne la prog pour pouvoir faire mon propre trojan et le vendre, comme ça je deviendrais un vrai killer, et j'aurais enfin accompli mon but final, qui est de devenir une racaille du web, un délincant qui gagne sa vie en infectant les gens."

    Franchement, après avoir lu les méfaits du groupe "owned and exposed", comme par exemple le down du site carders.cc par deux fois, je ne peux pas dire que j'approuve car c'est illégale, mais j'ai pensé "bien fait pour leur tronche".

Discussions similaires

  1. Des chercheurs découvrent plusieurs vulnérabilités dans Windows
    Par Francis Walter dans le forum Sécurité
    Réponses: 0
    Dernier message: 26/02/2014, 10h07
  2. Réponses: 0
    Dernier message: 05/02/2014, 19h10
  3. Réponses: 1
    Dernier message: 14/01/2014, 12h31
  4. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 12h04
  5. Réponses: 36
    Dernier message: 01/04/2010, 09h40

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo