SysJoker : un malware pour macOS, Windows et Linux qui opère discrètement depuis des mois

Félix Cattafesta |

Un inquiétant cheval de Troie très discret et multiplateformes vient d'être repéré. Baptisé SysJoker et mis en lumière par la firme de sécurité Intezer, il peut cibler autant Windows, Linux que macOS. Pire encore, celui-ci passait sous les radars des antivirus depuis un bout de temps. Les versions Linux et macOS n'étaient jusqu'à présent pas du tout détectées par des sites comme VirusTotal, qui permettent d'analyser des fichiers en se basant sur un grand nombre de moteurs antivirus.

Image : Intezer.

Intezer suspecte SysJoker de se faire passer pour une mise à jour du système, et estime qu'il aurait été lancé au cours du second semestre 2021. Le malware est écrit en C++ tandis que chaque version est adaptée à l’OS spécifique qu'il cible : le fichier macOS était notamment signé. Il a été découvert pour la première fois lors d'une attaque sur un serveur web Linux « d'une grande institution éducative ». Si les chercheurs n'ont pas réussi à trouver comment le virus se diffuse, il semble que son installation se fasse en forçant la main à l'utilisateur (par exemple en téléchargeant un fichier compromis).

Sur Windows, SysJoker va se cacher dans les dossiers système sous le nom d'un logiciel Intel (igfxCUIService.exe pour Intel Graphics Common User Interface Service) et peut faire en sorte de s'exécuter à chaque démarrage. Il recueille l'adresse MAC, le nom d'utilisateur, le numéro de série et l'adresse IP. Les malandrins peuvent ensuite s'en servir pour lancer des commandes à distance.

Pour les chercheurs, cette découverte est importante pour plusieurs raisons : les malwares multiplateformes de ce type sont rares, et celui-ci a été écrit à partir de zéro. Autrement dit, les gens derrière SysJoker sont des professionnels avec beaucoup de moyens. De plus, les équipes d’Intezer ont pu observer que les pirates se basent sur quatre serveurs de commande et de contrôle distincts. Ils ont pu être témoins de trois changements de serveur pendant leurs analyses, ce qui montre bien que les malfaiteurs sont actifs et surveillent les machines infectées.

Maintenant que SysJoker a été détecté, on devrait le voir arriver dans les moteurs d'antivirus ce qui devrait rendre sa détection à grande échelle beaucoup plus facile. Selon Intezer, le malware a pour objectif l'espionnage, ce qui « pourrait également conduire à une attaque par ransomware ». Il ne viserait cependant que des « cibles spécifiques » et les chercheurs expliquent ne pas l'avoir vu passer à l'attaque pendant leurs analyses.


Tags
avatar Napoba12 | 

Avec un nom pareil, est ce qu’il s’installe aussi sur les Mac Mx ?

avatar moilechiennoir | 
avatar narugi | 

Ça fait chié pour nous utilisateurs de macOS mais un point me satisfait c’est que beaucoup de gens (pas sûr ce forum) croient que macOS est infaillible alors que plus les années passent et plus macOS est une passoire

avatar theovln | 

@narugi

Ni plus ni moins qu’avant. En revanche la part de marché toujours plus grande, le rend intéressant aux yeux des pirates …

avatar Krysten2001 | 

@narugi

On a toujours dit que le slide loading était mauvais 😉

avatar byte_order | 

@Krysten2001

Car chacun sait qu'il y a zero malware distribué sur le Mac Apple Store...

avatar Krysten2001 | 

@byte_order

Je n’ai pas dit ça mais moins c’est sûr 😉

avatar byte_order | 

@Krysten2001
> Je n’ai pas dit ça mais moins c’est sûr 😉

Tout dépend de la qualité des contrôles fait par le canal dit "sécurisé".
En ce qui concerne les virus, par définition vous ne pouvez les détecter que quand vous savez le reconnaitre, cela semble donc inévitable que des nouveaux arrivent a passer.

Ce qui change ensuite, c'est l'efficacité à stopper sa diffusion ainsi que celle de ses variants.

Vu le nombre de malwares présents depuis des années sur le Mac App Store, j'ai comme un doute. En ce qui concerne l'AppStore et, dans une mesure plus faible, le PlayStore, c'est nettement mieux, oui.

Mais on peut obtenir le même résultat avec un store nettement plus focus, comme F-Droid, consacré exclusivement aux apps Android open source, ou encore *les* dépôts de paquets du monde Linux qui existent depuis bien plus longtemps que les stores de constructeurs au passage, leur catalogue étant nettement plus restreint sa surveillance y est nettement plus fréquente et approfondie.

C'est pas le type de distribution ni qu'il soit imposé qui compte, c'est la qualité du contrôle.

Au passage, quand y'a qu'un canal, soit le canal détecte et tout le monde est protégé, super, soit le canal échoue à la détection, et tout le monde est exposé, pas super, d'autant si dans cette relation 1-N, N est énorme.
C'est tout le problème d'absence de diversité.

On observe la même chose vis à vis des semences qui ont été "harmonisées, optimisées" : les graines sont très efficaces contre les menaces connues de chaque plante, mais quand une nouvelle menace débarque, tous les semis sont fatalement concernés... faute de diversité.

avatar Adodane | 

La part de marché à vachement augmenté oui 😂😂😂

avatar huexley | 

Plus d'info pour la partie "Mac" chez Objective-See : https://objective-see.com/blog/blog_0x6C.html

avatar cosmoboy34 | 

Ça sent l’agence gouvernementale à 3 lettres à plein nez 😅

CONNEXION UTILISATEUR