Les ingénieurs de la société Kaspersky expliquent avoir découvert un rootkit conçu pour les systèmes Linux basés sur une architecture 64-bit. Il ne s'agirait d'une variante d'un malware connu mais d'un petit programme au code relativement simple ayant fait son apparition sur une liste de diffusion un peu plus tôt ce mois-ci.
Le rootkit, qui est exécuté dès le démarrage au niveau du kernel, a été pensé pour attaquer un serveur web. Concrètement il permet d'injecter des iframe au sein des sites Web en modifiant la fonction TCP afin de rediriger les internautes vers des sites Internet frauduleux. Plutôt qu'une simple attaque, les experts perçoivent dans ce nouveau rootkit un échantillon pour un produit commercial qui a été depuis modifié par l'acheteur.
Le malware établit une connexion à un serveur de commande qui lui retourne le code à injecter au sein du site Internet. Ce code peut être un iframe ou un javascript. Kasperky estime que ce rootkit est principalement utilisé dans des attaques de grandes envergures afin de tromper le maximum d'internautes possible plutôt que pour opérer des attaques ciblées.