Un malware quasi indétectable sévit sur le Web

Un malware se fait passer pour une mise à jour du système sur Windows, macOS et Linux. 

Un logiciel malveillant est capable de se frayer un chemin sur les trois systèmes d’exploitation, Windows, macOS et Linux. Pendant plusieurs mois, il est parvenu à rester à l’écart des radars des différents systèmes, logiciels et plateformes de détection des menaces. Finalement, les chercheurs d’Intezer, une société de sécurité informatique new-yorkaise, ont réussi à découvrir ce malware multi-OS. Ils l’ont baptisé “Sysjoker”.

L’enquête d’Intezer

SysJoker est un programme “backdoor”, ou “à porte dérobée”. Il fonctionne en arrière-plan et n’apparaît donc pas dans les logiciels en cours d’utilisation. Le hacker à l’origine de ce programme utilise la porte dérobée pour espionner un utilisateur. Grâce à elle, il peut gérer les fichiers de sa victime, de surveiller l’ensemble des actions réalisées sur le PC, ou encore d’installer des logiciels supplémentaires ou d’autres logiciels malveillants. SysJoker fait probablement rage depuis la seconde moitié de 2021.

Les ingénieurs ont d’abord repéré SysJoker sur un serveur web Linux rattaché à un établissement scolaire au cours du mois de décembre. À la suite de cette découverte, ils se sont lancés dans une enquête plus approfondie. C’est donc seulement après plusieurs mois que les chercheurs-enquêteurs ont repéré la porte dérobée sur les systèmes d’exploitation Windows et macOS.

Un logiciel presque invisible

Cette menace est presque impossible à détecter avec les antivirus dits “traditionnels”. Sa particularité est de contourner les logiciels de détection en se faisant passer pour une mise à jour du système.

Pour évaluer les capacités d’invisibilité du logiciel malveillant, Intezer a analysé un échantillon du malware sur 70 antivirus utilisant le moteur de recherche de logiciels VirusTotal. Aucun n’a réussi à le détecter sur macOS et Linux et seuls six d’entre eux ont signalé la version Windows.

Un camouflage à la lettre près

Sous Windows, SysJoker prend la forme d’une DLL. Il s’agit d’une bibliothèque de liens dynamiques qui fournit la plupart des fonctionnalités du système d’exploitation. Une fois cette bibliothèque installée, elle active des commandes PowerShell. Les mêmes commandes qui vont permettre de décompresser SysJoker, alors encore en format ZIP, puis de l’exécuter.

SysJoker créé ensuite un nouveau répertoire, “C:ProgramDataSystemData)” et s’y camoufle sous le nom “igfxCUIService.exe”. Ce nom fait référence à “Intel Graphics Common User Interface Service”, un composant logiciel qui s’installe en même temps que les pilotes des cartes graphiques Intel. Il fait partie intégrante de l’interface utilisateur de la marque. Une fois complètement installé dans le système, SysJoker peut collecter les informations nécessaires pour exécuter des commandes (exe, cmd, remove_reg et exit) et installer d’autres malwares.

Pour aller plus loin, un article du blog d’Intezer fournit une explication détaillée du comportement du malware, des schémas de décodage et d’encodage, ainsi que des instructions de commande et de contrôle. Le texte propose aux lecteurs les étapes à suivre pour déterminer si un système a été compromis.

_
Suivez Geeko sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.