Cdorked

La menace Cdorked est conçue pour cibler uniquement les systèmes Linux. Les analystes de la cybersécurité ont découvert ce cheval de Troie de porte dérobée il y a environ sept ans. Après avoir étudié l'activité de cette menace, il semblerait que la période la plus dynamique pour le cheval de Troie Cdorked ait été en 2013 lorsqu'elle a été repérée sur plusieurs centaines de serveurs Web. Tous les serveurs Web compromis ont été conçus pour rediriger les utilisateurs vers des pages corrompues destinées à distribuer divers types de logiciels malveillants.

Le principal avantage du cheval de Troie Cdorked est qu'il fonctionne de manière très silencieuse. Les créateurs du cheval de Troie de porte dérobée Cdorked ont veillé à ce que cette menace fonctionne presque sans fichier. Cela signifie que la majorité de ses fichiers et paramètres sont stockés dans la mémoire du système. Cependant, les chercheurs de logiciels malveillants ont certainement identifié un fichier affilié à la campagne Cdorked - «httpd». Il s'agit d'une variante modifiée du fichier exécutable d'un serveur Web Apache. Lorsque le cheval de Troie Cdorked compromet un système, il pourra modifier ses paramètres via des requêtes HTTP spécialement conçues. Ces requêtes sont conçues pour que le serveur Web Apache ne les enregistre pas, garantissant ainsi une furtivité supplémentaire au cheval de Troie Cdorked. Comme nous l'avons mentionné, le cheval de Troie de porte dérobée Cdorked est une menace très furtive qui peut causer beaucoup de dégâts avant que la victime ne remarque un problème.

Le cheval de Troie Cdorked se connectera au serveur C&C (Command & Control) des attaquants et en recevra les commandes. Toutes les communications entre les deux entités sont cryptées en toute sécurité, ce qui rend plus difficile pour les administrateurs des serveurs compromis d'identifier la menace. Le cheval de Troie de porte dérobée Cdorked est capable de surveiller la barre d'adresse de l'utilisateur et recherche des chaînes particulières comme 'cpanel', 'host', 'webmin', 'secur', etc. La présence de l'une de ces chaînes signifierait que les utilisateurs entrent dans une page qu'ils administrent. Si l'un d'eux est détecté, l'utilisateur ne sera pas redirigé vers un site Web dangereux, car cela provoquerait des soupçons.

Les menaces conçues pour s'en prendre aux systèmes Linux n'étaient pas très courantes dans le passé, mais chaque année passant, il y a de plus en plus de logiciels malveillants conçus pour cibler Linux. Ne négligez pas la sécurité de votre système et assurez-vous d'obtenir une véritable solution anti-malware qui vous gardera en sécurité.

Tendance

Le plus regardé

Chargement...