AccueilSécuritéUn malware Linux menace Windows

Un malware Linux menace Windows

Les spécialistes de la sécurité de la société américaine de télécommunications Lumen Technologies ont découvert au cours des six derniers mois une centaine d’exemples de codes malveillants qui utilisent le sous-système Windows pour Linux (WSL) pour attaquer Windows. La plupart des logiciels malveillants ne sont pas encore très sophistiqués, de sorte qu’ils ne peuvent pas causer de gros dégâts. Les chercheurs en sécurité estiment néanmoins que le risque est important.

Depuis la découverte des premiers logiciels malveillants Linux dans Windows il y a six mois, les logiciels malveillants ont considérablement évolué. Le risque que des codes malveillants dangereux arrivent sur les ordinateurs Windows via le WSL, pour lesquels la plupart des programmes antivirus sont actuellement aveugles, augmente donc.

Dans leur rapport, les chercheurs en sécurité distinguent deux approches : les logiciels développés spécialement à cet effet (custom modules) et les logiciels basés sur des outils open source. Comme exemple de module personnalisé, ils citent un enregistreur de frappe écrit en Python, qui enregistre les frappes de clavier et les clics de souris dans un fichier et les envoie par e-mail. D’autres logiciels malveillants peuvent être contrôlés à distance via le réseau ou télécharger des scripts shell ou python depuis Internet. Le code malveillant tente parfois d’ancrer la charge utile téléchargée sur le système Windows concerné via un démarrage automatique ou des manipulations du registre.

Un malware basé sur l’open source s’appuie sur DiscordRAT, un outil d’administration à distance écrit en Python, qui est contrôlé via Discord et offre de nombreuses fonctions telles que l’exécution de commandes arbitraires, un enregistreur de frappe ou le téléchargement et le chargement de fichiers arbitraires. Un logiciel similaire était contrôlable via Telegram. Des logiciels malveillants spécialisés tels qu’un enregistreur de frappe contrôlable via Discord ou un dumper de mots de passe figuraient également parmi les découvertes.

Même si aucun danger concret ne menace actuellement, les chercheurs en sécurité conseillent aux entreprises qui utilisent le WSL de faire preuve de prudence. Ils recommandent de surveiller, à l’aide d’un logiciel comme Sysmon, les commandes exécutées via le terminal WSL. Selon eux, le fait que le WSL soit surtout utilisé par les administrateurs et les développeurs, qui disposent souvent de droits étendus sur le réseau Windows, est particulièrement explosif.

Plus d'articles