Skip to main content

Ce dangereux malware affecte presque tous vos appareils, et en plus il est indétectable

Cybersécurité
(Crédit photo: Future)

Des chercheurs en cybersécurité ont découvert un trojan de type RAT capable d’offrir un accès à distance à vos appareils informatiques. Celui-ci parvient à tromper les radars des programmes antivirus depuis au moins six mois et cible, en priorité, les établissements scolaires et universitaires.

Comme le rapporte Ars Technica, le RAT a été baptisé SysJoker par les chercheurs d'Intezer qui l'ont mis en lumière. Ces derniers l'ont identifié, sur un serveur web basé sur Linux et appartenant à une "institution éducative de premier plan". 

Ils ne savent pas qui l'a conçu, quand ni comment il a été déployé puis distribué. Leur meilleure hypothèse est qu'il a été développé au cours du second semestre de l'année dernière, par un groupe de hackers initiés disposant de "ressources importantes". Intezer est parvenu à cette conclusion en prenant en compte le fait avéré que les logiciels malveillants entièrement multiplateformes, avec quatre serveurs C2 distincts, demeurent rares.

Comment supprimer SysJoker ?

En ce qui concerne la distribution, les chercheurs supposent que le premier établissement ciblé l'a installé sur son terminal par le biais d'un paquet npm malveillant. Ils sont convaincus que les cybercriminels n'ont pas exploité de failles de sécurité depuis les systèmes de la cible, mais ont plutôt incité quelqu'un à l'installer. Il y a de fortes chances que les hackers ne ratissent pas large, mais qu'ils soient plutôt engagés dans "l'espionnage local". Pour autant, des risques d’attaque par rançongiciel, menées par le même groupe sur des cibles plus larges, seraient également à craindre dans un avenir proche. 

Le malware est écrit en C++, et n'a pas encore été ajouté au moteur de recherche de VirusTotal. Il semble assez puissant, puisqu'il peut créer des fichiers, ajouter des commandes de registre, installer d'autres logiciels malveillants, exécuter des commandes sur l'appareil infecté ou même se mettre en veille.

Comme le RAT n'a pas encore été ajoutée à la base de données virale, les administrateurs système qui découvrent l'infection doivent supprimer le malware manuellement. Selon iTechPost (opens in new tab), il s'agit d'un processus en trois étapes : 1) éliminer le mécanisme de persistance du malware, supprimer manuellement tous les fichiers concernés et tuer tous les programmes liés au malware ; 2) lancer un scan de la mémoire pour s'assurer que tous les fichiers malveillants ont été supprimés ; 3) vérifier si tous les outils logiciels sont mis à jour, renforcer les paramètres du pare-feu et rechercher les points d'accès possibles.

Via: Ars Technica (opens in new tab)

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.