Un inquiétant cheval de Troie très discret et multiplateformes vient d'être repéré. Baptisé SysJoker et mis en lumière par la firme de sécurité Intezer, il peut cibler autant Windows, Linux que macOS. Pire encore, celui-ci passait sous les radars des antivirus depuis un bout de temps. Les versions Linux et macOS n'étaient jusqu'à présent pas du tout détectées par des sites comme VirusTotal, qui permettent d'analyser des fichiers en se basant sur un grand nombre de moteurs antivirus.
Intezer suspecte SysJoker de se faire passer pour une mise à jour du système, et estime qu'il aurait été lancé au cours du second semestre 2021. Le malware est écrit en C++ tandis que chaque version est adaptée à l’OS spécifique qu'il cible : le fichier macOS était notamment signé. Il a été découvert pour la première fois lors d'une attaque sur un serveur web Linux « d'une grande institution éducative ». Si les chercheurs n'ont pas réussi à trouver comment le virus se diffuse, il semble que son installation se fasse en forçant la main à l'utilisateur (par exemple en téléchargeant un fichier compromis).
Sur Windows, SysJoker va se cacher dans les dossiers système sous le nom d'un logiciel Intel (igfxCUIService.exe pour Intel Graphics Common User Interface Service) et peut faire en sorte de s'exécuter à chaque démarrage. Il recueille l'adresse MAC, le nom d'utilisateur, le numéro de série et l'adresse IP. Les malandrins peuvent ensuite s'en servir pour lancer des commandes à distance.
Pour les chercheurs, cette découverte est importante pour plusieurs raisons : les malwares multiplateformes de ce type sont rares, et celui-ci a été écrit à partir de zéro. Autrement dit, les gens derrière SysJoker sont des professionnels avec beaucoup de moyens. De plus, les équipes d’Intezer ont pu observer que les pirates se basent sur quatre serveurs de commande et de contrôle distincts. Ils ont pu être témoins de trois changements de serveur pendant leurs analyses, ce qui montre bien que les malfaiteurs sont actifs et surveillent les machines infectées.
Maintenant que SysJoker a été détecté, on devrait le voir arriver dans les moteurs d'antivirus ce qui devrait rendre sa détection à grande échelle beaucoup plus facile. Selon Intezer, le malware a pour objectif l'espionnage, ce qui « pourrait également conduire à une attaque par ransomware ». Il ne viserait cependant que des « cibles spécifiques » et les chercheurs expliquent ne pas l'avoir vu passer à l'attaque pendant leurs analyses.
