Logiciels malveillants écrits sur mesure découverts sur les systèmes Windows, macOS et Linux


  • FrançaisFrançais


  • Pourquoi est-ce important: En décembre 2021, l’équipe de sécurité d’Intezer a identifié un logiciel malveillant écrit sur mesure sur le serveur Web Linux d’un établissement d’enseignement de premier plan. Le malware, depuis nommé SysJoker, a été découvert plus tard comme ayant également des variantes Mac et Windows, augmentant sa capacité à infecter les systèmes souhaités. Les variantes macOS et Linux sont actuellement indétectables par la plupart des produits antivirus et des scanners.

    Le cheval de Troie d’accès à distance (RAT) écrit sur mesure et basé sur C++, qui n’a pas été détecté pendant plusieurs mois, a peut-être été publié entre le milieu et la fin de 2021. SysJokerComment par l’équipe de sécurité d’Intezer, le programme se dissimule comme une mise à jour du système dans l’environnement du système d’exploitation de la cible. Chaque variante du malware est adaptée au système d’exploitation qu’il cible, dont beaucoup se sont avérés difficiles ou impossibles à détecter. Selon VirusTotal, un agrégateur d’antivirus et de moteur d’analyse, les versions macOS et Linux du programme sont toujours indétectables.

    Le comportement du RAT est similaire sur tous les systèmes d’exploitation concernés. Une fois exécuté, il se crée et se copie dans un répertoire spécifique se faisant passer pour le service d’interface utilisateur graphique commun d’Intel, igfxCUIService.exe. Après l’exécution de plusieurs autres actions, le programme commencera à collecter des informations sur la machine telles que l’adresse MAC, les numéros de série et les adresses IP.

    Le billet de blog d’Intezer fournit une description détaillée explication du comportement du logiciel malveillant, des schémas de décodage et de codage et des instructions de commande et de contrôle (C2).

    Le blog fournit aux lecteurs des étapes de détection et de réponse qui peuvent être suivies pour déterminer si votre organisation a été compromise et quelles sont les prochaines étapes à suivre. Intezer Protect peut être utilisé pour rechercher des codes malveillants sur les systèmes basés sur Linux. L’entreprise fournit afree édition communautaire du produit pour effectuer des analyses. Il est conseillé aux systèmes Windows d’utiliser Intezer’s analyseur de point final. Les propriétaires de systèmes compromis sont invités à :

    • Tuez les processus liés à SysJoker et supprimez le mécanisme de persistance pertinent et tous les fichiers liés à SysJoker
    • Exécutez une analyse de la mémoire sur la machine infectée
    • Enquêter sur le point d’entrée initial du logiciel malveillant
    • Si un serveur a été infecté par SysJoker, au cours de cette enquête, vérifiez :
    • Vérifier l’état de la configuration et la complexité du mot de passe pour les services publics sur les serveurs infectés
    • Vérifier les versions logicielles et les exploits connus affectant les serveurs infectés

    L’analyse des organisations ciblées et du comportement conçu du RAT conduit les chercheurs à croire que SysJoker est l’œuvre d’un acteur de menace avancé ciblant des organisations spécifiques à des fins d’espionnage et potentiellement d’attaques de ransomwares.

    Source

    N'oubliez pas de voter pour cet article !
    1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
    Loading...

    La Rédaction

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.