WaterDrop Malware

Le malware WaterDrop fait partie de plusieurs binaires corrompus récemment découverts et utilisés dans des attaques infectant les installations Linux. La famille des logiciels malveillants a été découverte pour la première fois par les chercheurs d'infosec des Alien Labs d'AT&T. Leur analyse a révélé que toutes les menaces utilisaient une porte dérobée open source nommée Prism comme base sur laquelle des modifications ont été lentement introduites par les attaquants.

Les capacités menaçantes de WaterDrop sont étonnamment basiques. En même temps, il manque de techniques sophistiquées d'anti-détection ou d'obscurcissement. En effet, les chercheurs affirment que WaterDrop contient plusieurs caractéristiques facilement identifiables. Sans oublier qu'il communique avec l'infrastructure Command-and-Control (C2, C&C) via HTTP en texte brut. Cependant, à en juger par l'efficacité de la campagne d'attaque, peu de gens auraient deviné que c'était le cas.

Le domaine lié à la campagne WaterDrop a été enregistré le 18 août 2017, et près de 4 ans plus tard, il est toujours en ligne et opérationnel. Malgré l'utilisation prolongée, WaterDrop a réussi à atteindre et à maintenir un score de détection proche de zéro, ce qui signifie qu'il a pu voler sous le radar pendant des années sans se faire remarquer. Jusqu'à présent, l'explication la plus plausible est que le taux de réussite élevé a été atteint en maintenant la campagne d'attaque à une échelle extrêmement petite.

Les cybercriminels derrière WaterDrop et sa famille de logiciels malveillants associés ont mis à jour lentement leur boîte à outils menaçante et devraient poursuivre leurs activités.