L'application Java malveillante, HEUR : Backdoor.Java.Agent.a, récemment découverte par l'éditeur Kaspersky n'est que le dernier exemple en date de la tendance opportuniste d'utiliser l'énorme potentiel de Java pour infecter trois plates-formes avec un seul malware transformant un poste de travail Linux, Mac ou Windows en zombie-bot prêt à servir des attaques de type DDoS.
Une fois installé sur le système cible en exploitant la faille Java CVE- 2013-2465 (SE 7 Update 21 et versions antérieures), pourtant patché en juin dernier, le malware est prêt à répondre à son centre command et contrôle via le protocole IRC. Selon Kaspersky, l'attaque peut être dissimulée dans de nombreux containers comme un simple email envoyé en vrac sans entête.

Le malware déploie également l'outil Zelix Klassmaster pour contrecarrer les analyses réalisées par les antivirus courants. «En plus d'obscurcir le code, Zelix chiffre constamment la chaine de caractères du malware et génère une clef différente pour chaque classe. Ce qui signifie que, pour décrypter toutes les chaînes à la demande, vous devez analyser toutes les classes afin de trouver les clefs de décryptage », a déclaré Anton Ivanov, un des chercheurs de Kaspersky Lab à l'origine de la découverte.

Une infection plus efficace avec Java

Le choix d'exploiter cette tactique n'est pas nouvelle et, en vérité, il est difficile de savoir si les criminels derrière cette attaque sont plus intéressés par cibler les plates-formes Linux et Mac ou désirent simplement tenter d'exploiter les nombreuses vulnérabilités de Java sur le plus grand nombre de systèmes. En décembre, des attaques DDoS malveillantes ciblant à la fois Windows et Linux ont été signalé par le CERT polonais, mais sans la spécificité Java. « Au cours de la dernière année, nous avons vu de nombreux échantillons de logiciels malveillants avec des capacités différentes, certains avec des capacités DDoS et un contrôle via IRC »  a commenté Barry Shteiman, directeur de la stratégie sécurité chez Imperva .

« Le choix de Java dans ce cas souligne l'arrivée de logiciels malveillants plus modernes. Java est multiplateforme et permettra donc au malware de s'exécuter sur plusieurs systèmes d'exploitation. Il peut aussi signifier que le fait que les pirates sont aujourd'hui très concentrés sur la recherche de la vulnérabilité dans Java, de sorte qu'il est probable que le malware peut évoluer avec de nouvelles façons d'exploiter un système », a-t-il dit.