Attention à ce malware qui piège les antivirus !

Un nouveau malware a été découvert qui s’attaque aussi bien à Windows, macOS et Linux. L’intrus a été repéré en décembre sur un serveur Web Linux d’une institution éducative par les chercheurs en cybersécurité d’Intezer. Ils l’ont baptisé SysJoker pour sa capacité à se faire passer pour une mise à jour système afin d’éviter la détection.

Les chercheurs ont soumis un échantillon du malware sur le site VirusTotal, qui permet de faire analyser des fichiers par plus de 70 logiciels antivirus. Aucun n’a réussi à détecter les versions Linux et macOS. Pour la version Windows, seuls six antivirus ont signalé un problème.

Vers une demande de rançon ?

Sur Windows, SysJoker utilise un « injecteur » (ou dropper) sous la forme d’une bibliothèque DLL afin de s’introduire dans le système. C’est celui-ci qui va ensuite installer le malware à proprement parler. Une fois en place, il lance des commandes dans Windows PowerShell pour télécharger le dossier compressé (ZIP) contenant le programme, le décompresser et l’exécuter. Une fois démarré, SysJoker marque une pause d’une durée aléatoire de 90 à 120 secondes. Ensuite, il crée le dossier C:\ProgramData\SystemData\ et s’y enregistre sous le nom igfxCUIService.exe afin de se faire passer pour le pilote graphique Intel.

Le programme se connecte ensuite à un lien Google Drive pour télécharger un fichier texte contenant l’adresse des serveurs de commande et de contrôle (C&C), qui lui transmettront des instructions pour installer d’autres malwares ou exécuter des commandes. Selon les chercheurs, ce fichier a été mis à jour plusieurs fois depuis qu’ils le surveillent, montrant que son auteur est toujours actif. D’après son comportement, il semble que le malware vise des cibles spécifiques. Les chercheurs estiment que son but est d’abord d’espionner ses victimes, et que l’étape suivante pourrait être une attaque de type ransomware.