Les chercheurs en cybersécurité de la firme Intezer ont découvert un nouveau malware baptisé SysJoker. Discret mais actif depuis plusieurs mois déjà, il peut cibler tous les systèmes d’exploitation.
Windows, Linux et MacOS, aucun n’est épargné par SysJoker. Ce mystérieux malware a été découvert un peu par hasard, par des chercheurs en cybersécurité de la plateforme d’analyse Intezer. Ils ont mis la main dessus lors d'une attaque active sur un serveur Web basé sur Linux dans un établissement d'enseignement.
Très discret, le malware échappait aux systèmes de détection traditionnels. « Nous avons découvert une nouvelle porte dérobée multiplateforme qui cible Windows, Mac et Linux. Les versions Linux et Mac sont totalement non détectées dans VirusTotal. Nous avons nommé cette porte dérobée SysJoker. », écrivent les chercheurs dans leur analyse détaillée.
Comment ça marche ?
SysJoker crée des portes dérobées sur les systèmes d’exploitation en se faisant passer pour une mise à jour du système sur MacOS et Linux, et pour des pilotes Intel sur Windows.
Il donne la possibilité aux pirates d’exécuter des commandes de téléchargement de fichiers. Ce qui suggère que cette attaque avancée sert à espionner et à mener des attaques de type ransomware. Les analystes ajoutent que ce malware a été écrit à partir de rien. Laissant penser que les pirates derrière SysJoker sont expérimentés, et disposent d’importants moyens.
Actif depuis 2021
D’après leurs analyses, les chercheurs estiment que SysJoker a été déployé au cours du second semestre 2021. Les pirates eux, demeurent actifs, et surveillent leurs cibles tout en changeant régulièrement de serveur.
Pour se prémunir d’une éventuelle attaque, les analystes invitent les administrateurs à utiliser des analyseurs de mémoire afin de détecter de potentielles charges utiles malveillantes. Et bien sûr, de rester en alerte. Par exemple, des intitulées de mises à jour tels que "updateMacOs" et "updateSystem" doivent mettre la puce à l’oreille.