Hand of Thief un Trojan bancaire pour Linux

Actualités du milieu

Moderators: Mod, Mod, Mod

Hand of Thief un Trojan bancaire pour Linux

Postby _47 » Thu Aug 15, 2013 9:47 pm

[i:1a71a0ef4f]Il y a quelques jours de ça, Limor KESSEM employé par l'entreprise RSA Security, nous apprenait l'existence d'un trojan bancaire destiné au système d'exploitation open source: [b:1a71a0ef4f]Linux[/b:1a71a0ef4f] .[/i:1a71a0ef4f]

[img:1a71a0ef4f]https://blogs.rsa.com/wp-content/uploads/2013/08/Fig1.png[/img:1a71a0ef4f]


[size=18:1a71a0ef4f][b:1a71a0ef4f]Le trojan Hand of Thief[/b:1a71a0ef4f][/size:1a71a0ef4f]
Ce [b:1a71a0ef4f]trojan[/b:1a71a0ef4f] est l'oeuvre d'un petit réseau organisé d'[i:1a71a0ef4f]hackers russes[/i:1a71a0ef4f]: développeurs, support clientèle et revendeurs.
La présence d'une assistance à la "clientèle" démontre bien quel est le client ciblé, c'est à dire une majeure clientèle de [b:1a71a0ef4f]scripts kiddies[/b:1a71a0ef4f] et autres clients plus ou moins "compétents".

Le [b:1a71a0ef4f]malware[/b:1a71a0ef4f] est relativement compatible à toutes les distributions linux, des test ont été effectués avec succès sur [b:1a71a0ef4f]15 distributions[/b:1a71a0ef4f] (dont [b:1a71a0ef4f]Ubuntu, Debian et Fedora[/b:1a71a0ef4f]), et [b:1a71a0ef4f]8 environnements de bureau[/b:1a71a0ef4f] (dont [b:1a71a0ef4f]Gnome et KDE[/b:1a71a0ef4f])


[size=18:1a71a0ef4f][b:1a71a0ef4f]Un trojan prche du botnet Citadel (anciennement Zeus)[/b:1a71a0ef4f][/size:1a71a0ef4f]
[b:1a71a0ef4f]Hand of Thief[/b:1a71a0ef4f] possède les caractéristique classique d'un [b:1a71a0ef4f]botnet[/b:1a71a0ef4f] de cette envergure c'est à dire:
-[i:1a71a0ef4f]formulaire grabber[/i:1a71a0ef4f] sur les sessions HTTP et HTTPS(compatible sur [b:1a71a0ef4f]Firefox, Aurora, Chrome, Chromium et Iceweasel[/b:1a71a0ef4f])
- [b:1a71a0ef4f]block list[/b:1a71a0ef4f] empêchant l'accès aux hôtes spécifiés (bloque, entre autre les sites web d'[i:1a71a0ef4f]éditeurs d'antivirus[/i:1a71a0ef4f], et [i:1a71a0ef4f]les mises à jour de sécurité[/i:1a71a0ef4f] linux) similaire au [b:1a71a0ef4f]botnet Citadel[/b:1a71a0ef4f] qui possède aussi cette fonction.
-Backdoor, backconnect et proxy SOCKS5
-Quelques fonctionnalités de "résistance": anti-VM (détecte et stope son exécution sous environnement ), anti-sandbox, et anti-debugger. Bien sûr dans le but de freiner (léger obstacle) les tentatives d'analyse et de [b:1a71a0ef4f]Reverse Engineering[/b:1a71a0ef4f], donc pas de quoi s'affoler.

Le [b:1a71a0ef4f]botnet Hand of Thief[/b:1a71a0ef4f] possède aussi des fonctionnalités de [b:1a71a0ef4f]stealer[/b:1a71a0ef4f], en effet il donne accès au [u:1a71a0ef4f]timestamp, user agent, historique web et cookie[/u:1a71a0ef4f] (cookie-stealing) de l'utilisateur.

[img:1a71a0ef4f]https://blogs.rsa.com/wp-content/uploads/2013/08/Fig2.png[/img:1a71a0ef4f]

Le tout est accessible au [b:1a71a0ef4f]botmaster[/b:1a71a0ef4f] via un [b:1a71a0ef4f]panel d'administration web[/b:1a71a0ef4f] codé pour l'occasion, qui permet entre autre l'accès aux [b:1a71a0ef4f]bots infectés[/b:1a71a0ef4f], et aux données récupérées.

Le botnet est disponible sur les blackmarkets pour un prix d'environ 2000$ (1500€) mises à jour comprises.

Les [b:1a71a0ef4f]pirates[/b:1a71a0ef4f] en charge du développement ont prévu de lui inclure des fonctionnalités telles ques des [b:1a71a0ef4f]injections web[/b:1a71a0ef4f] en prévision de faire de [b:1a71a0ef4f]Hand of Thief[/b:1a71a0ef4f] un [b:1a71a0ef4f]trojan bancaire[/b:1a71a0ef4f] à part entière.

À ce moment là , le stealer, botnet, trojan bancaire serait vendu à 3000 $ (2250 €) plus 550$ lors de mise à jours majeures.

[size=18:1a71a0ef4f][b:1a71a0ef4f]
Quels risques pour les utilisateurs de linux (linuxiens) ?[/b:1a71a0ef4f][/size:1a71a0ef4f]
Hand of Thief se vend a un prix relativement équivalents à ses homologues agissant sur windows, ce qui le rend assez cher compte tenu du nombre relativement faible d'utilisateur linux.
Et par conséquent [b:1a71a0ef4f]beaucoup moins rentable[/b:1a71a0ef4f].
De plus linux étant un système d'exploitation Open-Source, ses vulnérabilités sont [b:1a71a0ef4f]patchés assez rapidement[/b:1a71a0ef4f] ce qui rend le [b:1a71a0ef4f]nombre d'exploits disponible assez faible[/b:1a71a0ef4f].
Tout cela ne laisse alors qu'un potentiel vecteur d'attaque: le [b:1a71a0ef4f]social-engineering[/b:1a71a0ef4f] (emails, et réseaux sociaux).

J'en conclue par cette belle démonstration que la faille, ici de linux (et de bien d'autres systèmes), se trouve [b:1a71a0ef4f]entre la chaise et l'écran[/b:1a71a0ef4f] (comme bien souvent), et que par conséquent, [b:1a71a0ef4f]utilisateurs avertis[/b:1a71a0ef4f] que nous sommes dans cette communauté, [b:1a71a0ef4f]n'avons pas à tirer la sonnette d'alarme tant que nous surveillons un minimum nos clics[/b:1a71a0ef4f]

Sujet original: http://hackademics.fr/showthread.php?3345-Hand-of-Thief-un-Trojan-bancaire-pour-Linux-(d%E9velopp%E9-par-des-hackers-russes)
_47
Projets
 
Posts: 12
Joined: Fri Jul 05, 2013 8:37 pm

Return to Les nouvelles du net

Who is online

Users browsing this forum: No registered users and 1 guest

cron