Les chercheurs en cybersécurité ont découvert un cheval de Troie d’accès à distance (RAT), qui vole sous les radars des programmes antivirus depuis au moins six mois et cible, au moins, les établissements d’enseignement.
Comme le rapporte Ars Technica, le RAT a été surnommé SysJoker par les chercheurs d’Intezer qui l’ont découvert. Lorsqu’ils l’ont découvert pour la première fois, sur un serveur Web basé sur Linux appartenant à un « établissement d’enseignement de premier plan », ils ont appris qu’il avait été écrit à partir de rien.
Ils ne savent pas qui l’a construit, quand ils l’ont construit ou comment ils l’ont distribué. Leur meilleure estimation est qu’il a été construit au cours du second semestre de l’année dernière, par un acteur de menace avancé doté de « ressources importantes ». Ils sont arrivés à cette conclusion en sachant que les logiciels malveillants entièrement multiplateformes, avec quatre serveurs C2 distincts, sont rares.
Sommaire
Suppression de SysJoker
Quant à la distribution, ils supposent que l’établissement d’enseignement en question l’a installé sur son terminal via un package npm malveillant. Ils sont convaincus que les attaquants n’ont exploité aucune faille dans les systèmes de la cible, mais ont plutôt incité quelqu’un à l’installer. Il y a de fortes chances que les attaquants ne jettent pas un large filet, mais soient plutôt engagés dans « l’espionnage avec un mouvement latéral qui pourrait également conduire à une attaque de ransomware comme l’une des prochaines étapes », contre des cibles spécifiques.
Le malware est écrit en C++ et n’a pas encore été ajouté au moteur de recherche de malware VirusTotal. Il semble également être assez puissant, car il peut créer des fichiers, ajouter des commandes de registre, installer d’autres logiciels malveillants, exécuter des commandes sur l’appareil infecté ou même s’éteindre.
Comme le RAT n’a pas encore été ajouté à la base de données virale, les administrateurs système qui découvrent l’infection doivent supprimer le logiciel malveillant manuellement. Selon iTechPost, il s’agit d’un processus en trois étapes : 1) éliminer le mécanisme de persistance du logiciel malveillant, supprimer manuellement tous les fichiers concernés et tuer tous les programmes liés au logiciel malveillant ; 2) exécutez un scanner de mémoire pour vous assurer que tous les fichiers malveillants ont été supprimés ; 3) vérifiez si tous les outils logiciels sont mis à jour, resserrez les paramètres du pare-feu et recherchez les points d’accès possibles.
Par: Ars Technica
