Un malware Linux, « sedexp », exploite une faille quasiment inconnue pour échapper à la détection depuis 2022. Il s'installe furtivement sur les serveurs pour dérober des données bancaires.
S'il est bien un malware qui connaît toutes les règles de la cavale, c'est bien « sedexp ». Ce petit bijou de malveillance se balade en toute impunité depuis 2022 sur les serveurs Linux. Il utilise une technique si discrète qu'elle n'est même pas répertoriée dans la bible des chasseurs de malwares, le fameux MITRE ATT&CK.
Il peut donc au besoin donc depuis deux ans siphonner les données bancaires des clients de sites e-commerce, sans que personne ne s'en aperçoive. C'est la société Stroz Friedberg qui a fini par lever le lièvre et compris pourquoi il passe inaperçu.
Sedexp, le caméléon des serveurs Linux qui joue à cache-cache depuis 2022
Les règles udev, un système de gestion des périphériques peu surveillé par les solutions de sécurité, voilà l'arme secrète de ce malware pour passer sous tous les radars de détection depuis deux ans.
Le malware ajoute sa propre règle udev, qui le fait s'exécuter à chaque fois que /dev/random est chargé. Ce fichier étant utilisé comme générateur de nombres aléatoires par de nombreux processus système, sedexp se lance fréquemment, sans éveiller les soupçons.
Pour lui aussi s'assurer une couche de protection supplémentaire, il se déguise en « kdevtmpfs », un nom de processus qui le rend légitime auprès des administrateurs système. Et comme si cela ne suffisait pas, il utilise des techniques de manipulation mémoire pour se rendre invisible aux commandes standard comme « ls » ou « find ».
Et c'est pour mieux dérober les données bancaires des victimes qu'il combine tous ces procédés pour « srapper » (en gros, « gratter » les données qui nous intéressent d'un site) les sites Web qu'il a vérolés. À vos mises à jour d'antivirus et changements de mots de passe ou activation de double authentification, donc.
Source : Bleeping Computer