Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Les serveurs Linux vulnérables à des attaques par contournement d’iFrame

L’éditeur d’antivirus Eset a alerté sur un module Apache utilisé pour injecter du contenu malveillant dans les pages web depuis les serveurs Linux compromis. Le principal objectif du module porte sur la diffusion de Zbot ou ZeuS, malware spécialisé dans le vol de données bancaires.

Une attaque iFrame sur les serveurs Linux a été repérée, cette fois-ci pour tenter d’infecter ses victimes avec Zeus (ou Zbot), un malware spécialisé dans le vol d’informations bancaires, a révélé l’éditeur d’anti-virus Eset.

L’attaque Linux/Chapro.A a utilisé Apache 64-bit comme un conduit, ce qui n’est pas sans rappeler l’attaque rootkit « Snasko », découverte au cours du mois dernier, mais qui n’a apparemment pas de lien avec celle-ci.

Visant les clients des banques russes et européennes, Chapro injecte du contenu malveillant dans des pages web, en ciblant les utilisateurs de Windows vulnérables à l’une des nombreuses failles connues dans Java, IE et Adobe en utilisant le pack exploitant les failles « Sweet Orange » hébergé sur un serveur distant.

Se cacher des administrateurs

L’attaque se répand avant de récolter les codes de vérification des cartes bancaires. Une autre tâche consiste à se cacher des administrateurs aussi longtemps que possible, à poser un cookie et à enregistrer l’adresse IP de la machine infectée. Cela signifie que le PC ne sera pas contaminé à plusieurs reprises, ce qui rend difficile la détection de l’infection des données par les chercheurs.

« L’attaque décrite dans la présente analyse montre la complexité croissante des attaques de logiciels malveillants », a déclaré Pierre-Marc Bureau, chercheur à l’Eset. « Ce cas complexe s’étend sur trois pays différents, ciblant un quart des utilisateurs, d’où la difficulté pour la justice d’enquêter et d’en atténuer les effets. »

Par rapport à Snasko, la nouvelle attaque est plus menaçante. Elle ressemble à un système d’attaque entièrement fonctionnel, bien qu’Eset ait déclaré n’avoir pas détecté de nombreux exemples de ce type.

Source ici