SysJoker : un étonnant malware qui cible Windows, Linux et macOS

Le par Mathieu M.  |  6 commentaire(s) | Source : Intezer
malware

Des experts en sécurité alertent sur la découverte d'un malware orienté vers le cyberespionnage qui cible à la fois Windows, MacOS et Linux.

Des chercheurs en sécurité d'Intezer ont récemment annoncé la découverte d'un malware de type backdoor baptisé SysJoker et qui se veut ultra-perfectionné.

Selon ces derniers, le groupe de hackers à l'origine du logiciel a conçu ce dernier pour qu'il officie sur les trois systèmes les plus répandus : Windows, MacOS et Linux. Il s'agit d'un outil complet qui se veut également très mystérieux. Rien ne permet à ce jour d'identifier l'origine du malware.

malware

Repéré sur un serveur Web Linux appartenant à "une institution d'enseignement de premier plan" il avait échappé à tous les scans antiviraux de VirusTotal. Le malware se faisait passer pour une mise à jour système, mais on ne sait encore pas comment il a pu s'installer sur l'hôte.

Lorsqu'il est en place, le malware télécharge un fichier texte sur Google Drive pour récupérer sous forme codée des domaines et serveurs de commande et contrôle. Il est donc facile de piloter l'outil à distance, simplement en modifiant le fichier texte stocké sur Drive.

Les chercheurs estiment que SysJoker pourrait servir à la mise en oeuvre de cyberespionnage, les premières infections pourraient remonter au second semestre 2021, mais le malware n'a livré que très peu de secrets pour l'instant.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
jacob13 offline Hors ligne VIP icone 6936 points
Le #2154994
Je suis surpris par la méthode, si le fichier est sur drive, c'est que l'adresse du fichier est codée dans le logiciel malveillant donc on peut bloquer l'adresse ou remplacer le fichier pour désactiver le logiciel malveillant ?
Padrys offline Hors ligne Vénéré icone 4274 points
Le #2154997
jacob13 a écrit :

Je suis surpris par la méthode, si le fichier est sur drive, c'est que l'adresse du fichier est codée dans le logiciel malveillant donc on peut bloquer l'adresse ou remplacer le fichier pour désactiver le logiciel malveillant ?


J'imagine que dans ce fichier texte il y a aussi la nouvelle adresse drive à utiliser pour éviter que ça pointe toujours au même endroit.

Sinon ça la parade me paraitrait simple
Thomm offline Hors ligne Vétéran icone 1073 points
Le #2155035
Ça touche sûrement un service commun aux 3 os ( appache, ssl...)
pemmore offline Hors ligne Vétéran avatar 1470 points
Le #2155406
Je serais.bien curieux de tester un nouveau système d'exploitation, ou réveiller os2 wharp que j'ai subi sur des machines de production allemandes : ouvrir Windows, redescendre en dos. Ouvrir os2, brancher le câble, relier la bête, aller boire un café ouf!
Ben oui chargement 1/4 d'heure, j'ai connu la préhistoire, (bull) la c'était le moyen âge.
media offline Hors ligne Vétéran avatar 1323 points
Le #2155501
Thomm a écrit :

Ça touche sûrement un service commun aux 3 os ( appache, ssl...)


Java ?
Thomm offline Hors ligne Vétéran icone 1073 points
Le #2155503
media a écrit :

Thomm a écrit :

Ça touche sûrement un service commun aux 3 os ( appache, ssl...)


Java ?


Oui aussi
icone Suivre les commentaires
Poster un commentaire