Des logiciels malveillants infectent les PC Windows, Mac OS X, Linux en utilisant une vulnérabilité Java dans un correctif publié par Oracle

Il y a un an, Java a connu l’une des périodes les plus critiques de son histoire depuis son lancement. Les hackers avaient à l’époque utilisé une vulnérabilité appelée « Zero Day Exploit » pour pirater des logiciels basés sur Java. Ces exploits étaient si puissants qu’ils se vendaient à un prix de 5000 $ par exploit sur les sites et forums clandestins. Par conséquent, Oracle a publié une série de correctifs pour corriger cette vulnérabilité. Cependant, l’un des correctifs publiés par Oracle, appelé CVE-2013-2465, publié en juin 2013 pour corriger la vulnérabilité critique, semble lui-même avoir une faille !!!

• 

• Les chercheurs ont découvert qu’un logiciel malveillant de botnet utilise cette faille pour infecter des ordinateurs fonctionnant sous tous les principaux systèmes d’exploitation Windows, Mac OS X et Linux, à condition qu’ils aient le cadre logiciel Java d’Oracle installé et en cours d’exécution. Et comme le cadre Java est utilisé presque partout et par tout le monde, l’infection a été décrite comme majeure. Deuxièmement, le logiciel malveillant en lui-même est une version multiplateforme qui utilise l’obfuscateur Zelix Klassmaster pour empêcher son ingénierie inverse par des hackers whitehat et des hackers blackhat concurrents. Le nom de ce logiciel malveillant est Heur:Backdoor.Java.Agent.a. En plus d’obfusquer le bytecode, Zelix chiffre certains des mécanismes internes du logiciel malveillant, rendant impossible sa détection, son traitement ou son ingénierie inverse.

• Tous les ordinateurs ayant la version Java 7 u21 et antérieure sont susceptibles d’être infectés par ce botnet. Une fois que le bot a infecté un ordinateur, il se copie dans le répertoire de démarrage automatique de sa plateforme respective pour s’assurer qu’il s’exécute chaque fois que la machine infectée est démarrée. Une fois démarré, le logiciel malveillant fait alors en sorte que les ordinateurs compromis rapportent à un canal de chat Internet relay qui agit comme un serveur de commande et de contrôle. Les hackers peuvent alors utiliser ce canal IRC pour contrôler à distance l’ordinateur piraté/compromis. Comme mentionné ci-dessus, en raison de sa fonctionnalité multiplateforme, ce logiciel malveillant est considéré comme doublement dangereux.

• Les hackers utilisent ce botnet pour mener spécifiquement des attaques de D énial de Service Distribué (DDoS) sur des cibles de leur choix. Cela se fait par les hackers en émettant les commandes nécessaires via le canal IRC. Le canal IRC spécifié permet aux hackers de spécifier l’adresse IP, le numéro de port, l’intensité et la durée des attaques. Le logiciel malveillant est entièrement écrit en Java, ce qui lui permet de fonctionner sur des machines Windows, OS X et Linux. Pour plus de flexibilité et de manœuvrabilité pour les hackers, le bot a également été incorporé avec PircBot, une interface de programmation IRC basée sur Java.

• Le fonctionnement de ce logiciel malveillant de botnet est conçu de telle manière que la victime de l’attaque DDoS ainsi que l’attaquant (PC compromis) ne sont tous deux pas au courant du véritable criminel derrière l’attaque. Cela rend également difficile pour le webmaster, les analystes de sécurité et les hackers whitehat employés par la victime de surveiller leurs sites Web et d’atteindre la source du véritable attaquant.