Les chercheurs ont découvert un logiciel malveillant de porte dérobée inédit, écrit à partir de zéro pour les systèmes exécutant Windows, macOS ou Linux, qui n’a pas été détecté par pratiquement tous les moteurs d’analyse de logiciels malveillants.
Des chercheurs de la société de sécurité Intezer ont déclaré avoir découvert SysJoker – le nom qu’ils ont donné au logiciel malveillant de porte dérobée – sur le serveur Web basé sur Linux d’un “établissement d’enseignement de premier plan”. Au fur et à mesure que les chercheurs creusaient, ils ont également trouvé des versions de SysJoker pour Windows et macOS. Ils soupçonnent que le RAT multiplateforme, abréviation de cheval de Troie d’accès à distance, a été lancé au cours du second semestre de l’année dernière.
La découverte est importante pour plusieurs raisons. Premièrement, les logiciels malveillants entièrement multiplateformes sont plutôt rares, la plupart des logiciels malveillants étant écrits pour un système d’exploitation spécifique. Le RAT a également été écrit à partir de zéro et utilisait quatre serveurs de commande et de contrôle distincts, ce qui indique que les personnes qui l’ont développé et utilisé faisaient partie d’un acteur de menace avancé qui a investi des ressources importantes. Il est également inhabituel que des logiciels malveillants Linux inédits soient trouvés dans une attaque réelle.
Les analyses de la version Windows (par Intezer) et de la version pour Mac (par le chercheur Patrick Wardle) ont révélé que SysJoker fournit des fonctionnalités avancées de porte dérobée. Les fichiers exécutables pour les versions Windows et macOS avaient le suffixe .ts. Intezer a déclaré que cela pourrait être une indication que le fichier s’est fait passer pour une application de script de type propagée après avoir été introduite dans le référentiel JavaScript npm. Intezer a poursuivi en disant que SysJoker se fait passer pour une mise à jour du système.
Publicité
En fin de compte, Intezer n’a pas été en mesure de déterminer définitivement comment le logiciel malveillant a été installé. La théorie selon laquelle il a été installé soit via un package npm malveillant, soit en utilisant une fausse extension pour masquer le programme d’installation malveillant, suggérerait que les infections ne résultaient pas de l’exploitation d’une vulnérabilité, mais plutôt d’une incitation à l’installation.
Wardle, quant à lui, a déclaré que l’extension .ts peut indiquer que le fichier est déguisé en contenu de flux de transport vidéo. Il a également découvert que le fichier macOS était signé numériquement, mais avec une signature ad hoc.
SysJoker est écrit en C++, et depuis mardi, les versions Linux et macOS n’étaient pas du tout détectées sur le moteur de recherche de logiciels malveillants VirusTotal. La porte dérobée génère son domaine de serveur de contrôle en décodant une chaîne extraite d’un fichier texte hébergé sur Google Drive. Pendant que les chercheurs l’analysaient, le serveur a changé trois fois, indiquant que l’attaquant était actif et surveillait les machines infectées.
Sur la base des organisations ciblées et du comportement du malware, l’évaluation d’Intezer est que SysJoker vise des cibles spécifiques, très probablement dans le but d'”espionnage avec un mouvement latéral qui pourrait également conduire à une attaque de ransomware comme l’une des prochaines étapes”.
Le message mis à jour le 16/01/2022 pour préciser que la porte dérobée fait référence aux logiciels malveillants et indique explicitement qu’on ne sait pas comment il est installé.