Les serveurs Linux vulnérables à des attaques par contournement d'iFrame

L'éditeur d'antivirus Eset a alerté sur un module Apache utilisé pour injecter du contenu malveillant dans les pages web depuis les serveurs Linux compromis. Le principal objectif du module porte sur la diffusion de Zbot ou ZeuS, malware spécialisé dans le vol de données bancaires.

Une attaque iFrame sur les serveurs Linux a été repérée, cette fois-ci pour tenter d'infecter ses victimes avec Zeus (ou Zbot), un malware spécialisé dans le vol d'informations bancaires, a révélé l'éditeur d'anti-virus Eset.

L'attaque Linux/Chapro.A a utilisé Apache 64-bit comme un conduit, ce qui n'est pas sans rappeler l'attaque rootkit « Snasko », découverte au cours du mois dernier, mais qui n'a apparemment pas de lien avec celle-ci.

Visant les clients des banques russes et européennes, Chapro injecte du contenu malveillant dans des pages web, en ciblant les utilisateurs de Windows vulnérables à l'une des nombreuses failles connues dans Java, IE et Adobe en utilisant le pack exploitant les failles « Sweet Orange » hébergé sur un serveur distant.

Se cacher des administrateurs

L'attaque se répand avant de récolter les codes de vérification des cartes bancaires. Une autre tâche consiste à se cacher des administrateurs aussi longtemps que possible, à poser un cookie et à enregistrer l'adresse IP de la machine infectée. Cela signifie que le PC ne sera pas contaminé à plusieurs reprises, ce qui rend difficile la détection de l'infection des données par les chercheurs.

« L'attaque décrite dans la présente analyse montre la complexité croissante des attaques de logiciels malveillants », a déclaré Pierre-Marc Bureau, chercheur à l'Eset. « Ce cas complexe s'étend sur trois pays différents, ciblant un quart des utilisateurs, d'où la difficulté pour la justice d'enquêter et d'en atténuer les effets.»

Par rapport à Snasko, la nouvelle attaque est plus menaçante. Elle ressemble à un système d'attaque entièrement fonctionnel, bien qu'Eset ait déclaré n'avoir pas détecté de nombreux exemples de ce type.

Article de Véronique Arène avec IDG NS

Sur le même sujet (Linux)

COMMENTAIRES de l'ARTICLE2

le 26/12/2012 à 02h47 par Dsant (Membre) :

citation du 26/12 : " L'attaque Linux/Chapro.A à utilisé Apache 64-bit comme un conduit " : Apprenez à écrire français !

Signaler un abus

le 22/12/2012 à 18h21 par b_free (Membre) :

Linux ?

C'est un problème d'un module Apache. Ensuite cela cible les utilisateurs Windows et, selon vos propres dires, les failles de modules présents sur ce système d'exploitation.

Bref, rien à voir avec Linux, juste de la démagogie de bas étage pour faire un article. Il aurait dû s'appeler "faille dans un module Apache" comme certains de vos confrères l'on très justement fait.

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION