Malware : KeRanger venait de Linux

Nicolas Furno |

KeRanger, ce malware glissé dans Transmission qui a défrayé la chronique le week-end dernier, venait en fait de Linux. C’est ce qu’explique BitDefender après avoir analysé le code source de ce programme qui verrouillait tous les fichiers et demandait à ses victimes une rançon pour récupérer un accès. L’entreprise a trouvé énormément de similitudes entre ce qui a infesté quelques milliers de Mac et Linux.Encoder Trojan, un malware qui circule en particulier sur les serveurs Linux depuis plusieurs mois.

Extrait du code de KeRanger
Extrait du code de KeRanger

Les deux programmes malveillants fonctionnent sur le même principe et KeRanger aurait été simplement adapté pour fonctionner sur OS X. En particulier, il lui fallait déjouer les sécurités mises en place par Gatekeeper et c’est pourquoi le malware exploitait un certificat valide, fourni par Apple. Par ailleurs, on savait qu’une mise à jour était prévue pour bloquer également l’accès aux sauvegardes Time Machine, une fonction spécifique à OS X.

Le système d’exploitation d’Apple, basé sur UNIX, est suffisamment proche d’une distribution Linux pour que KeRanger se base sur le travail d’un malware tiers. Ce n’est pas vraiment une surprise donc, mais c’est surtout le rappel utile que les outils malveillants ne sont pas une exclusivité de Windows ou plus récemment d’Android.

Rappelons que Transmission a été mis à jour dans la foulée pour, non seulement retirer le malware intégré à l’application, mais aussi nettoyer les Mac infectés. A priori, personne n’a été touché par KeRanger cette fois, espérons que l’on aura autant de chances à l’avenir…

avatar iGeek07 | 

Personne n'a été touché? Sur 6500 téléchargements? Ça serait une bonne nouvelle. Et peut être que le fait que le malware touche un programme utilisé par les "geeks" n'y est pas pour rien.

avatar oflorent | 

@iGeek07
Ce n'est utilisé que par le geeks. C'est utilisé par ceux qui font de la transmission de données en volume. D'ailleurs vous utilisez quoi comme logiciel de protection ?

avatar vicento | 

Pour toi un pirate c'est un geek ?

avatar patrick86 | 

"Pour toi un pirate c'est un geek ?"

Pour vous un utilisateur du torrent est forcément un pirate ?

avatar Mahpoul22 | 

Apparement... #douleur

avatar melaure | 

A 99 % oui, soyons réalistes et honnêtes.

Car pour transmettre des fichiers, il y a des tas de solutions classiques. Est-ce qu'on utilise des soft de torrent pour transmettre nos données en entreprise ? Non !

Le torrent c'est avant tout du piratage! Et massif !

avatar heero | 

alors justement en entreprise on utilise pas les solutions "classiques"

oui les entreprises utilisent les flux/structure torrent
comme par exemple BitSync pour le citer

et Apple possède des flux torrents pour le transfer de données en interne ...

avatar Mahpoul22 | 

Merci pour cette tranche de savoir.

avatar patrick86 | 

@melaure :

Pour compléter la réponse pertinente de heero : quand des éditeurs utilisent le torrent pour distribuer leurs logiciels ou jeux vidéos, c'est de l'auto-piratage ?

Personne ne nie que le torrent soit très utilisé pour le piratage, mais le fait que votre "99%" est largement tiré par les poils d'un troll et ne repose sur aucun élément factuel.

avatar Erravid | 

+1

Le téléchargement en P2P est parfois proposé pour le téléchargement de gros fichiers (Ubuntu, les jeux et livres sur Humble Bundle, etc) et c'est toujours ma solution de choix. Ça permet de ne pas surcharger inutilement les serveurs de téléchargement… et chaque Go téléchargé sur un site est payant pour l'éditeur du site, alors que le P2P est gratuit.

C'est malheureux d'entendre des amis me dire qu'ils ne téléchargent surtout rien en torrent (alors que je leur parle d'un fichier légal) parce qu'ils imaginent que la police va venir défoncer leur porte le lendemain matin…

avatar GoldenPomme | 

"C'est malheureux d'entendre des amis me dire qu'ils ne téléchargent surtout rien en torrent (alors que je leur parle d'un fichier légal) parce qu'ils imaginent que la police va venir défoncer leur porte le lendemain matin…"

T'imagines même pas la peine encourue pour le téléchargement des 12-13Go de la dernière Debian au complet par torrent toi.

Tu pourrais en prendre pour au moins 3000ans de tôle pour avoir légalement télécharger par torrent ce système de crypto-coco-pedo-violeurdebébéphoque. :'(

avatar C1rc3@0rc | 

@Erravid
On a effectivement un bel exemple des conséquences du terrorisme intellectuel auquel se livre les représentants de l'industrie du divertissement.

Parce qu'ils font du lobying intense pour maintenir un système monopolistique qui permet de mettre en captivité le client, ils sont en train, en plus, de pourrir l'Internet avec leurs streaming pourri et le centralisme qui pervertit le principe du Net.

Maintenant a cause de ces rapaces menteurs et sournois, les honnetes gens n'osent plus utiliser une technologie totalement légale et ultra efficace: le P2P!

A cause de cette clique, on a de moins en moins acces aux services de base qui ont fait la réputation et la puissance du Net: qui a aujourd'hui accès libre aux newsgroup?

Mais il faut aussi rappeler que le P2P ne se limite pas qu'au transfert de fichiers lourds, ce systeme permet aussi de faire fonctionner pratiquement tout de manière décentralisé: on peut évoquer les messageries -Skype fonctionnait sur le P2P avant son rachat par la CIA, heu Microsoft - , et il y a des systèmes de WEB ou de mail qui fonctionnent sur le principe du P2P.

Rappelons qu'a la base le principe meme de l'Internet repose sur le P2P...

avatar mac-a-dames | 

@melaure :
Est-ce qu'on utilise le torrent en entreprise? Oui, de plus en plus. Les solutions de téléchargement "traditionnelles" ne sont plus adaptées.
Même Apple utilise le torrent en intra (cf article récent).
Énormément de logiciels utilisent la technologie torrent aussi.

avatar GreenPapy (non vérifié) | 

@vicento :
Le "pirate" moyen ne connaît pas l'existence du P2P, la plupart des gens que je connais se sont mis au streaming légal ou non quand Megaupload à fermé

avatar patrick86 | 

C'était donc une mauvaise blague du pingouin… Vile gredin !

avatar Wes974 | 

Quel canaille !

avatar C1rc3@0rc | 

Ça ressemble surtout a un exercice de scriptkiddies vu le niveau d'amateurisme:
- adaptation a l'arrache et tres succinte d'un malware linux
- nom du Developer ID utilisé
- utilisation de Bitcoin pour la rançon
- utilisation de TOR pour la communication
...
Tout cela fait penser a ces sales gamins qui "ecrivent" des virus ou troyens pour Windows a partir d'un des nombreux generateurs en circulation. Pas beaucoup de connaissances techniques, beaucoup d'immaturité... bref assez typique!

Apres c'est aussi du niveau de la RIAA et Hadopi en tout genre...

La bonne nouvelle c'est que le travail semble tellement nul que le chiffrage des donnees serait facilement réversible. Un outil de "nettoyage" semble en cours de realisation qui devrait reparer le tout sans laisser de trace.
Une fois que le FBI aura mis la main sur ces gamins, il devrait les imposer a Apple pour coder le systeme de cryptage des iPhone, comme ça meme un agent du FBI pas tres doué pourra acceder au contenu de la machine...

avatar Vaudan (non vérifié) | 

C'est bien ça va faire taire les linuziens sur le fait que c'est le meilleur et plus sécurisé os du monde...

avatar iAnn | 

Malheureusement sur cette planète, même le plus prudent, vigilant, sécurisé, n'est à l'abri de tout...

avatar Wes974 | 

Aucun OS n'est plus ou moins sécurisé qu'un autre, puisque ce n'est pas parce que il n'y a pas de malware connu sur un OS qu'il est forcément meilleur ou plus sécurisé, tout n'est qu'une question de temps avant qu'une faille soit découverte.

avatar C1rc3@0rc | 

@Dark-mac
On ne peut pas dire ça sérieusement.
Plus un système est sécurisé et moins une faille sera facilement critique.

La on parle de 1 malware qui est très célèbre sur Linux parce que c'est l'un des très rares.
Il faut se rendre compte que ce malware est tres limité et qu'il necessite un acces local et l'intervention de l'utilisateur pour fonctionner. De fait il n'exploite pas de faille technique, mais une série de failles humaines.
On est très loin des virus qui pullulent sur Windows grâce aux failles et erreurs de conception de cet OS.

Les vraies failles (et backdoor) sur les OS securisés permettent certes de contourner les systemes de sécurité, mais il faut déjà les trouver et qu'elles soient exploitables dans un cadre realiste. Deja si l'OS a des vrais droits d'acces au fichiers et des comptes de sessions vraiment cloisonnés, c'est un premier niveau qui va éviter beaucoup de catastrophes. Apres y a des OS qui chiffrent tout serieusement, ce qui n'est pas le cas des OS gp en general...

Et ce qui va motiver le hacker a trouver des failles c'est pas la PDM de l'OS: il fait ça pour le defi avant tout!

Voila un exemple de virus universel qui peut se propager par email:
1) utilisateur, place ton dossier HOME dans la corbeille
2) dans 24 heures sélectionne "vider la corbeille"
3a) maintenant envoi 2 bitcoin a l'adresse xxxxxxx@orange.cm si tu veux récupérer ton dossier intacte
3b) ta machine est vulnérable, pour t'aider a la sécuriser va remplir le questionnaire sur le site matroncheregistre.com en prenant bien soin d'indiquer tes vraies données civiles, telephone, RIB, et numero de series des tes materiels et logiciels informatiques: un expert te contactera ensuite pour t'aider a sécuriser tes données!
4) lorsque tu auras fait l'étape 3 tu recevras des instructions pour sauver ton ordinateur
5) ne soit pas égoïste, forward tel quel ce message a tout ton carnet d'adresse pour aider tes amis!

...Ok, c'est une caricature, mais ça marche!

avatar Wes974 | 

Oui, pas faux

avatar Moonwalker | 

L'OS le plus sécurisé est OpenBSD dans sa configuration par défaut.

Après, si tu ne sais pas te servir des outils mis à disposition, ton OS devient rapidement une passoire.

C'est la connaissance de son système qui permet d'assurer sa propre sécurité, quel que soit l'OS en question.

Concernant ke.ranger, le subterfuge a été découvert à temps et les mesures prises rapidement. Notamment avec la révocation du certificat Gatekeeper.

La prochaine fois, s'ils s'attaquent à un logiciel opensource non signé, comme XLD, ça risque d'être plus problématique.

avatar patrick86 | 

"C'est bien ça va faire taire les linuziens sur le fait que c'est le meilleur et plus sécurisé os du monde..."

Pour deux malwares qui se battent en duel ?

avatar bompi | 

En fait, le titre est un peu abusif : ça ne vient pas de Linux mais c'est l'adaptation d'une attaque conçue initialement contre Linux. Il y a une nuance sémantique.

Pour le reste, afin d'éviter les postures idiotes, il faudrait souligner combien chaque système est faillible, ne serait-ce que parce que nous (les utilisateurs) le sommes. Il y a des failles plus spécifiques suivant la nature des systèmes mais, in fine, l'essentiel est d'en être conscient et d'avoir l'attitude adaptée (ce que dit très bien Moonwalker ci-dessus).

Ici, par exemple, ça veut dire qu'il faut faire l'effort de passer les contrôles de sommes pour tous les téléchargements... En espérant que les sommes et les téléchargements ne sont pas au même endroit (sans cela corrompre les deux n'est pas plus compliqué qu'en corrompre un seul).

avatar Jean-Jacques Cortes | 

Pour info, on peut récupérer de nombreux logiciels gratuits via un torrent : Ubuntu ou LibreOffice par exemple.

CONNEXION UTILISATEUR