Elle infecte des systèmes depuis plusieurs mois, mais elle est passée totalement inaperçue. En décembre dernier, les chercheurs en sécurité d’Intezer ont mis la main sur une porte dérobée baptisée « SysJoker », créée par un groupe de pirates visiblement avancé.
En effet, ce code malveillant est totalement nouveau et a été écrit d’emblée pour les trois principaux systèmes d’exploitation (Windows, macOS et Linux). Ce qui nécessite un minimum de moyens et de connaissances techniques. Aucune attribution n’a pu être faite pour le moment. On ne sait donc pas qui se cache derrière.
L’efficacité de ce code malveillant est terrible. Au moment de sa découverte sur un serveur Web Linux, qui appartenait à « une institution d’enseignement de premier plan », il n’était détecté par aucun des moteurs antiviraux de VirusTotal.
Pour tromper l’utilisateur, le malware a pris les allures d’une mise à jour de système, mais on ne sait pas précisément comment il a réussi à infecter sa cible. L’une des hypothèses des chercheurs est qu’il a été enfoui dans un logiciel de « npm », un gestionnaire de paquets multiplate-forme.
A découvrir aussi en vidéo :
Une fois installé, le malware télécharge un fichier texte sur Google Drive, dans lequel il trouvera — sous forme codée — les domaines de ses serveurs de commande et contrôle.
Ces derniers peuvent lui envoyer deux principales instructions : « exe » pour télécharger et installer un autre code malveillant, et « cmd » pour exécuter une commande.
Malheureusement, aucune commande n’a pu être observée jusqu’à présent. Cette porte dérobée sert très probablement pour le cyberespionnage. Les chercheurs estiment que les premières infections datent du second semestre 2021. Dans l’ensemble, cette opération est encore un mystère.
Sources : Intezer, Objective-See.com
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
