Une attaque Java installe des backdoors sous Windows, Linux, et Mac

Crédit Photo: D.R

Les chercheurs en sécurité ont repéré une attaque menée par un malware installé sur une page web qui cible les ordinateurs tournant aussi bien sous Windows, Linux et Mac OS X.

Selon les chercheurs en sécurité de F-Secure et Kaspersky Lab, cette attaque d'ingénierie sociale basée sur le web s'appuie sur des applets Java malveillantes. Ceux-ci tentent d'installer des portes dérobées sur Windows, Linux et Mac. « L'attaque a été détectée sur un site web compromis localisé en Colombie », a déclaré dans un blog Karmina Aquino, senior analyste chez F-Secure. Quand les utilisateurs visitent le site, ils sont invités à exécuter un applet Java dont la signature n'a pas été validée par une autorité de certification de confiance.

Si l'applet est exécuté, il commence par déterminer quel système d'exploitation tourne sur l'ordinateur de l'utilisateur connecté - Windows, Mac OS X ou Linux - et dépose ensuite le fichier binaire malveillant correspondant à la plate-forme. Les fichiers détectés par F-Secure se nomment «Backdoor: OSX/GetShell.A», «Backdoor: Linux/GetShell.A" et "Backdoor: W32/GetShell.A ». L'objectif consiste ensuite à établir une connexion avec un serveur de commande et de contrôle, et à récupérer d'autres codes infectés pour les télécharger et les exécuter sur l'ordinateur compromis. « Cependant, depuis que nos chercheurs surveillent cette attaque, le serveur de contrôle distant n'a pas diffusé de code supplémentaire », a déclaré l'analyste de F-Secure.

Plusieurs cibles et des backdoors importants

« Il semble que l'attaque utilise le Social Engineer Toolkit (SET), un outil grand public conçu pour tester la capacité de résistance des systèmes aux intrusions », a écrit Karmina Aquino. Cependant, il y a peu de chance que le but du propriétaire du site web en question soit de réaliser un test d'intrusion. « Je ne pense pas que l'outil serve ici à effectuer un test d'intrusion», a confirmé Costin Raiu, directeur de la recherche de Kaspersky Lab au niveau mondial, qui dirige l'équipe d'analystes en sécurité de l'entreprise. «  En fait, nos analystes surveillent deux sites distincts contenant le malware », a t-il ajouté. « Un site colombien, également repéré par F-Secure, et un second site, celui d'un parc aquatique situé à Barcelone, en Espagne ». Selon Costin Raiu, « la présence du malware sur ce site espagnol laisse penser que l'attaque n'est pas limitée à la Colombie ou une entité particulière ».

Les chercheurs de Kaspersky sont en train d'analyser le backdoor téléchargé par le code shell malveillant sous Windows et Linux. « La porte dérobée Win32 est de taille importante, environ 600 Ko, mais le backdoor Linux pèse plus de 1 Mo », a précisé le directeur de recherche de Kaspersky Lab. « Les deux backdoors semblent exécuter un code très complexe qui communique de façon cryptée avec d'autres serveurs ». Ce n'est pas la première fois que les chercheurs en sécurité mettent en évidence une attaque visant plusieurs plateformes. En 2010, une attaque d'ingénierie sociale similaire, reposant sur un applet Java, était capable d'exécuter du code malveillant sous Windows, Mac OS X et Linux. Elle avait été utilisée pour diffuser le Cheval de Troie Boonana. « Ces attaques multi-plateformes indiquent que Linux et Mac OS X sont des cibles de plus en plus intéressantes pour les cybercriminels», a déclaré Costin Raiu. Selon Karmina Aquino, « à l'avenir, ce type d'attaque risque de se répandre, car elle permet aux concepteurs de malware de cibler davantage d'utilisateurs et de diffuser plus largement leurs logiciels malveillants ».