L'équipe des laboratoires de menaces d'Avast a découvert “le botnet le plus sophistiqué qu'ils aient jamais vu” et il cible les appareils IoT.

La nouvelle variété de virus / programmes malveillants IoT, baptisée Torii, s’est répandue sur des services Telnet mal sécurisés, l’attaque ayant pour origine des noeuds de sortie Tor..

  • Nous avons également mis en évidence le meilleur antivirus

Livraison charge utile

Selon Avast, la chaîne d'infection commence par une attaque Telnet sur les informations d'identification faibles des périphériques ciblés, suivie de l'exécution d'un script shell initial. Le script essaie de découvrir l'architecture du périphérique ciblé et une fois terminé, il tente de télécharger la charge utile appropriée pour les périphériques (fichiers binaires au format ELF)..

La fonctionnalité principale de ces charges utiles consiste à installer un ELF interne avec le premier fichier ELF. Il s'agit de la deuxième étape du fichier exécutable qui est très persistante et utilise au moins six méthodes pour s'assurer que le fichier ELF reste sur le périphérique et qu'il est toujours en cours d'exécution. Ensuite, la fonction ELF interne est exécutée pour délivrer la charge utile de la deuxième étape, un bot à part entière capable d’exécuter des commandes à partir de son serveur CnC maître..

Détails de la menace

Torii doit encore être utilisé dans les attaques par DDoS ou pour le cryptojacking. Au lieu de cela, le logiciel malveillant vole les données des appareils IoT et permet aux attaquants d’exécuter du code à distance, ce qui pourrait leur permettre d’exécuter n’importe quelle commande sur les ordinateurs infectés. Cependant, le malware est capable d'extraire et d'exécuter d'autres commandes en utilisant plusieurs couches de cryptage..

Torii est l'une des souches de malware les plus sophistiquées jamais observées par Avast. En plus de partager des informations sur les périphériques infectés, la communication du logiciel malveillant avec le serveur CnC permet à ses auteurs d'exécuter n'importe quel code ou de transmettre une charge utile à un périphérique infecté. Ceci suggère que Torii pourrait devenir une plate-forme modulaire pour une utilisation future.

  • Ce sont les meilleurs outils de suppression de logiciels malveillants gratuits