Les chercheurs ESET se sont alliés à l’entreprise de sécurité GoSecure pour mener une nouvelle enquête sur la famille de logiciels malveillants Moose ciblant Linux.
Tout d'abord détecté par le Virus radar ESET en mars 2015, Linux/Moose a initialement été utilisé comme porte dérobée (backdoor) pour cibler les routeurs domestiques tournant sur Linux. Dans sa présentation au Virus Bulletin, ESET décrit les capacités du malware, capable d’infecter d'autres systèmes Linux embarqués, interceptant le trafic réseau non chiffré et offrant des services de proxy pour les opérateurs de réseaux botnet.
Le malware Linux/Moose a fortement évolué au cours de la dernière année. Pour mieux comprendre ses mutations, GoSecure a enquêté sur un marché encore inconnu qu'ils ont nommé "Le marché Ego", portant sur l’utilisation frauduleuse des réseaux sociaux. Pendant ce temps, les chercheurs ESET se sont penchés sur les modifications techniques apportées aux variantes de Moose.
L'une des principales améliorations constatées dans ce nouvel échantillon fut l'absence d'adresse IP codée en dur dans le malware pour connaître son serveur C&C (Command & Control). Dans cette nouvelle version, l’adresse IP est donnée en argument d’une ligne de commande chiffrée. Cette nouvelle fonctionnalité implique que nos machines de test doivent être compromises et pilotées par un dispositif Linux afin de récupérer l'adresse IP du serveur C&C.
Si vous souhaitez plus d’informations concernant le malware Linux/Moose, nous vous invitons à consulter l’article disponible sur WeLiveSecurity