Des chercheurs en cybersécurité ont découvert un trojan de type RAT capable d’offrir un accès à distance à vos appareils informatiques. Celui-ci parvient à tromper les radars des programmes antivirus depuis au moins six mois et cible, en priorité, les établissements scolaires et universitaires.
Comme le rapporte Ars Technica, le RAT a été baptisé SysJoker par les chercheurs d'Intezer qui l'ont mis en lumière. Ces derniers l'ont identifié, sur un serveur web basé sur Linux et appartenant à une "institution éducative de premier plan".
Ils ne savent pas qui l'a conçu, quand ni comment il a été déployé puis distribué. Leur meilleure hypothèse est qu'il a été développé au cours du second semestre de l'année dernière, par un groupe de hackers initiés disposant de "ressources importantes". Intezer est parvenu à cette conclusion en prenant en compte le fait avéré que les logiciels malveillants entièrement multiplateformes, avec quatre serveurs C2 distincts, demeurent rares.
- Meilleurs antivirus 2022 : quelle solution choisir ?
- En complément de votre antivirus, optez pour les meilleurs VPN
- Voici les meilleurs ordinateurs disponibles en 2022
Comment supprimer SysJoker ?
En ce qui concerne la distribution, les chercheurs supposent que le premier établissement ciblé l'a installé sur son terminal par le biais d'un paquet npm malveillant. Ils sont convaincus que les cybercriminels n'ont pas exploité de failles de sécurité depuis les systèmes de la cible, mais ont plutôt incité quelqu'un à l'installer. Il y a de fortes chances que les hackers ne ratissent pas large, mais qu'ils soient plutôt engagés dans "l'espionnage local". Pour autant, des risques d’attaque par rançongiciel, menées par le même groupe sur des cibles plus larges, seraient également à craindre dans un avenir proche.
Le malware est écrit en C++, et n'a pas encore été ajouté au moteur de recherche de VirusTotal. Il semble assez puissant, puisqu'il peut créer des fichiers, ajouter des commandes de registre, installer d'autres logiciels malveillants, exécuter des commandes sur l'appareil infecté ou même se mettre en veille.
Comme le RAT n'a pas encore été ajoutée à la base de données virale, les administrateurs système qui découvrent l'infection doivent supprimer le malware manuellement. Selon iTechPost, il s'agit d'un processus en trois étapes : 1) éliminer le mécanisme de persistance du malware, supprimer manuellement tous les fichiers concernés et tuer tous les programmes liés au malware ; 2) lancer un scan de la mémoire pour s'assurer que tous les fichiers malveillants ont été supprimés ; 3) vérifier si tous les outils logiciels sont mis à jour, renforcer les paramètres du pare-feu et rechercher les points d'accès possibles.
Via: Ars Technica
