Un malware furtif ciblant les appareils Linux échappe à la détection depuis 2022. Baptisé « sedexp », ce malware utilise une technique de persistance qui n’est pas encore documentée dans le framework MITRE ATT&CK.

🐞 Découvert par la société Stroz Friedberg, le malware utilise une règle udev afin de persister dans les systèmes compromis. Pour faire simple, udev est un système de Linux permettant de gérer les interactions du noyau avec les périphériques liés à l’ordinateur.

🖱 Sedexp ajoute une règle udev qui se déclenche chaque fois qu’un nouveau périphérique est ajouté au système. Lorsque cette condition est remplie – par exemple lorsqu’un utilisateur insère une clef USB – le script de persistance s’exécute.

🚨 Ce malware, qui a échappé à la détection deux ans durant, est capable de créer des reverse shells pour l’accès à distance et de modifier le contenu de la mémoire, ceci pour injecter du code malveillant ou modifier le comportement des applications et des processus.

💳 Les chercheurs ont découvert que le malware est utilisé dans la nature depuis au moins 2022 et qu’il a été utilisé pour dissimuler la collecte d’informations de cartes de crédit sur des serveurs web compromis.

⚠ Ils notent également que l’utilisation des règles udev par le malware est une nouvelle technique de persistance qui n’est pas encore bien documentée, et que sa capacité à se cacher à la vue de tous en fait une menace importante.