Posté le septembre 1, 2021 à 20:15

LES HACKERS UTILISENT UN LOGICIEL MALVEILLANT DANGEREUX POUR MENER DES ATTAQUES DDOS

Les chercheurs en sécurité de l’unité 42 de Palo Alto Networks ont découvert une vulnérabilité affectant WebSVN qui est exploitée par des hackers. Selon les chercheurs, les hackers exploitent le bug pour implanter des variantes du logiciel malveillant Miraaj DDoS.

Les hackers peuvent utiliser une approche par force brute

Selon les chercheurs, les hackers peuvent utiliser une approche par force brute pour pénétrer dans les appareils et y implanter leurs logiciels malveillants. Ils utilisent également des binaires Linux malveillants utilisés pour différentes architectures. L’approche par force brute est utilisée pour accélérer leur processus d’exploration car le script peut télécharger et exécuter des binaires pour toutes les architectures. Cela permet de se débarrasser de toute erreur d’incompatibilité.

Les attaquants préfèrent utiliser des binaires Linux, même si le WebSVN peut être utilisé pour différents systèmes d’exploitation.

Le bug a été corrigé, mais les hackers continuent de l’exploiter

Bien que le correctif pour la vulnérabilité ait été publié plus tôt en mai de cette année, les auteurs de la menace exploitent toujours les versions qui n’ont pas encore été corrigées. Cela signifie que les utilisateurs qui n’ont pas appliqué le correctif au bug sont vulnérables à l’exploitation en cours. La vulnérabilité est connue sous le nom de CVE-2021-32305, et elle affecte la version 2.6.0 du logiciel.

Lorsque la preuve de concept a été publiée en juin, les hackers ont lancé leur attaque et tenté d’exploiter la version, en déployant des variantes du logiciel malveillant Miraj DDoS.

Comme le rapportent les chercheurs, les attaquants utilisent l’injection de commandes pour télécharger un script shell qui peut s’infiltrer dans le système cible.

Cependant, l’attaquant peut ne pas connaître certains détails importants de l’environnement cible lorsqu’il utilise ce type de bugs. Des détails tels que l’architecture du processeur et le système d’exploitation de la cible que le serveur Web exécute peuvent ne pas être connus, ce qui complique un peu la tâche du hacker. Toutefois, des hackers disposant d’un niveau de technicité élevé peuvent réussir à pénétrer dans l’appareil ciblé.

« Le script shell utilisé dans l’étape suivante de l’attaque montre comment le hacker peut surmonter ce problème », ajoutent les chercheurs.

Le logiciel malveillant se connecte aux serveurs C2 des hackers

Après avoir analysé la situation, les chercheurs ont déclaré que les acteurs de la menace menaient des attaques DDoS à l’aide du logiciel malveillant, dont les codes sont similaires à ceux de la famille de botnets Miraj.

Les auteurs de la menace ont également utilisé une version mise à jour du packer open-source UPX pour réduire la taille des fichiers. Les chercheurs, tout en commentant la nature du logiciel malveillant, ont déclaré que lors de son exécution, le logiciel malveillant se connecte au serveur de commande et de contrôle (C2) des hackers. Après avoir établi une connexion, il utilise un protocole TCP textuel personnalisé pour transmettre des informations au serveur C2.

Selon les chercheurs, cette famille de logiciels malveillants est principalement conçue pour mener des attaques DDoS. Mais tous les hackers ne peuvent pas réussir cette intrusion car elle dépend de la technique utilisée et des protocoles réseau.

Les chercheurs ont également classé les attaques en huit groupes, et chacun d’entre eux peut infiltrer un type de cible différent.

Ce qui est triste, c’est que les hackers vont continuer à exploiter les failles pour augmenter la capacité de leurs attaques DDoS et étendre leur armée de dispositifs infectés, selon les chercheurs. Par conséquent, il a été conseillé aux utilisateurs de mettre à jour leurs systèmes dès que possible pour éviter d’être victimes de leurs exploitations.

Comme le correctif pour les vulnérabilités a été publié, l’impact des exploits ne sera peut-être pas trop ressenti. Mais les quelques utilisateurs qui en seront victimes sont ceux qui n’ont pas mis à jour leurs appareils avec le dernier patch.

Le virus Joker est de retour

Le célèbre virus Joker a de nouveau été découvert dans la nature. En juillet, lorsque le logiciel malveillant a été vu pour la dernière fois, il était diffusé par des applications sur Google Play Store.

Le logiciel malveillant a déjà été détecté dans huit applications du Google Play Store, bien qu’elles aient été supprimées par le géant technologique. Mais le code malveillant peut encore exister dans d’autres applications.

Le cheval de Troie Joker est issu de la famille des logiciels malveillants Bread. Il se concentre principalement sur le piratage des comptes mobiles, où il autorise des opérations à l’insu de l’utilisateur. Il peut également s’introduire dans des PME et prendre contact sur l’appareil infecté. Mais le plus alarmant est que le logiciel malveillant peut abonner les utilisateurs à des services payants sans qu’ils en aient été informés ou qu’ils y aient consenti.