Vous souvenez-vous de Graboid ?
Palo Alto Networks avait signalé, en octobre dernier, l’existence de ce ver cryptomineur se propageant par l’intermédiaire de conteneurs.
Qualys vient d’attirer l’attention sur un malware de la même espèce : LibMiner.
Comme Graboid, il est destiné à miner du Monero.
Son fonctionnement n’est toutefois pas le même : il s’appuie sur des serveurs Redis mal sécurisés.
Qualys affirme ne pas avoir pu déterminer le mécanisme d’infection initial. Il a cependant identifié plusieurs conteneurs dont le point d’entrée a été paramétré pour exécuter un script.
Ce script planifie l’exécution différée de commandes à travers une tâche Cron. Il réinitialise par ailleurs le contenu du fichier etc/hosts afin de permettre l’accès au serveur qui héberge les autres composantes du malware.
Parmi ces composantes se trouve un autre script : lib_tmp. Il vérifie la présence de certains outils de sécurité et tue les processus associés. Puis met à jour le serveur de nom pour utiliser les DNS publics de Google. Son dernier rôle est de télécharger un fichier ELF (binaire Unix) et de l’enregistrer dans /var/lib sous un nom aléatoire de 4 caractères.
Ce binaire n’est autre que le cœur de LibMiner. Les routines qu’il contient s’exécutent en boucle infinie et téléchargent plusieurs fichiers :
Plusieurs techniques permettent de rendre LibMiner plus discret et plus résistant :
Photo d’illustration © Eugène Sergueev – Shutterstock.com
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…