SysJoker : le mystérieux malware pour Windows, Mac et Linux

SysJoker : le mystérieux malware pour Windows, Mac et Linux

Des experts en sécurité ont identifié un nouveau malware baptisé SysJoker qui installe une porte dérobée sur des ordinateurs sous Windows, macOS et Linux. Et qui n'a encore été détecté par aucun antivirus…

La nouvelle a de quoi inquiéter. Les experts en sécurité d'Intezer, une société new-yorkaise spécialisée en sécurité informatique, a récemment découvert un malware aux propriétés inquiétantes. Ce logiciel malveillant, qu'il ont baptisé SysJoker, présente d'abord la particularité d'être multi-plaformes : il s'attaque en effet aussi bien aux ordinateurs sous Windows, les plus nombreux, que sous macOS et Linux. En clair, il fonctionne avec tous les grands systèmes d'exploitation. Ensuite, et surtout, il est pratiquement indétectable avec les outils classiques. Comme les chercheurs d'Intezer l'expliquent dans leur publication, SysJoker n'a été signalé que par 6 des quelque 70 modules de VirusTotal, un site Web qui analyse – gratuitement – des fichiers suspects à l'aide de puissants moteurs antivirus.

Pour le dire autrement, SysJoker passe à travers les mailles des filets de pratiquement toutes les solutions de protection actuelles… Il n'a d'ailleurs été découvert qu'assez tardivement, et presque par hasard, lors de l'analyse d'un serveur Web Linux d'une "institution d'enseignement de premier plan". Selon les experts, il s'introduirait dans les ordinateurs en se faisant passer pour une mise à jour système, via un gestionnaire de paquets multi-plateforme (npm), ou une bibliothèque partagée (DLL) pour Windows qui lui permettrait de lancer des commandes PowerShell. Des techniques sophistiquées et audacieuses, qui prouvent que ses créateurs ne sont pas des novices.

SysJoker : un malware indétectable au but encore inconnu 

SysJoker n'est pas seulement terriblement discret : il est aussi très mystérieux. Car il n'en est visiblement qu'aux débuts de ses méfaits. Pour l'heure, il se contente d'installer une porte dérobée (une backdoor, dans le jargon). Après une période de veille et d'observation lors de laquelle il recueillerait diverses informations sur la machine infectée, il se connecte à Google Drive pour récupérer l'adresse des serveurs de contrôle, lui permettant notamment d'exécuter plusieurs commandes (exe, cmd, remove_reg, exit) ou d'installer d'autres malwares. Bref, pas de gros dégâts pour l'instant mais le pire est à craindre.

Le plus inquiétant, c'est qu'on ne connaît rien des créateurs de SysJoker, ni de leurs intentions. S'agit-il de préparer un campagne d'espionnage, comme les experts d'Intezer le supposent, ou de préparer des attaques par ramsonware en cryptant des données pour les rendre inutilisables à moins de payer une rançon ? Nul ne le sait encore. Mais les spécialistes en cybersécurité sont inquiets de ce l'apparition de ce nouveau malware aussi discret que puissant, susceptible de mettre en danger tous les ordinateurs, quel que soit leur système d'exploitation. Il faut juste espérer que, maintenant que l'alerte est lancée, les éditeurs d'antivirus et de solutions de sécurité s'activent rapidement pour trouver une parade.