SysJoker : le malware indétectable depuis plusieurs mois sur Windows, macOS et Linux

Alexandre Boero
Chargé de l'actualité de Clubic
17 janvier 2022 à 15h46
20
© Intezer
© Intezer

Œuvrant tel un fantôme sur les trois systèmes d'exploitation depuis un moment, le malware, qui est en réalité une porte dérobée, a enfin été repéré. Il se fait passer pour une mise à jour système.

« SysJoker », c'est son nom, est capable de se frayer un chemin sur divers systèmes d'exploitation connus de tous : Windows, macOS et Linux. Il est parvenu à rester loin des radars des différents systèmes, logiciels et plateformes de détection de l'univers cyber, et ce durant plusieurs mois. Ce sont finalement des chercheurs d'Intezer, une société de sécurité informatique new-yorkaise, qui ont réussi à découvrir ce malware d'un nouveau genre, qui agit en tant que backdoor (porte dérobée).

Un malware multi-OS, quasi impossible à détecter avec les antivirus dits « traditionnels »

C'est dans le courant du mois de décembre que les ingénieurs d'Intezer ont fait leur découverte. Ils ont d'abord repéré le nouveau malware sur un serveur Web Linux rattaché à un établissement d'enseignement « de premier plan », selon eux. C'est à partir de cette trouvaille qu'ils ont mené une enquête plus approfondie et baptisé le malware SysJoker, qui brille par sa capacité à passer outre les logiciels de détection, en se faisant passer pour une mise à jour système.

Après enquête, les chercheurs ont aussi localisé la porte dérobée sur Windows et macOS, deux autres systèmes d'exploitation. Pas franchement rassurant, d'autant plus qu'ils ont ensuite passé au crible de 70 logiciels antivirus un échantillon du malware, via la solution VirusTotal, et accrochez-vous bien : aucun n'est parvenu à le détecter sur macOS et Linux. Seuls six d'entre eux ont opéré un signalement sur la version Windows. Cela signifie que dans le genre indétectable, SysJoker est plutôt impressionnant.

Sévissant sans doute depuis le second semestre 2021, SysJoker est écrit dans le langage C++ et s'adapte à chacun des trois OS précédemment cités, un fait particulièrement rare qui ne le rend que plus dangereux.

Une attaque sophistiquée, sans doute l'œuvre d'un acteur aux compétences avancées, qui pourrait évoluer en rançongiciel

Sous Windows, SysJoker comporte un injecteur de premier niveau, qui prend la forme d'une DLL (une bibliothèque de liens dynamiques qui fournit la plupart des fonctionnalités du système d'exploitation) qui va s'introduire dans le système, pour ensuite lancer des commandes PowerShell qui vont permettre de décompresser SysJoker (qui est alors au format ZIP) puis de l'exécuter. 90 à 120 secondes plus tard, un laps de temps durant lequel il est en sommeil, SysJoker crée un nouveau répertoire (C:\ProgramData\SystemData\) et y prend place, sous le nom igfxCUIService.exe, pour Intel Graphics Common User Interface Service, qui n'est autre qu'un composant logiciel qui s'installe en même temps que les pilotes pour les cartes graphiques Intel et fait partie intégrante de l'interface utilisateur de la marque.

Quelle est l'étape suivante ? SysJoker passe du temps à recueillir des informations sur la machine, dormant pendant une durée aléatoire entre chacune des étapes. Au bout d'un moment, il parvient à décoder un lien Google Drive à la base codé en dur et accède au fichier qui contient l'adresse des serveurs de commande et de contrôle (C2 ou C&C), fichier qui est d'ailleurs capable de changer au fil du temps. Au final, SysJoker parvient à recueillir les informations nécessaires à l'exécution de commandes (exe, cmd, remove_reg et exit) ou à l'installation d'autres malwares.

Le flux de communication de SysJoker avec le C2 (© Intezer)
Le flux de communication de SysJoker avec le C2 (© Intezer)

Concernant l'identité du groupe ou de l'entité à l'origine de SysJoker, les informations sont peu nombreuses. Intezer estime toutefois que le code ayant été écrit à partir de zéro et n'ayant encore jamais été identifié auparavant, il est fort probable que le créateur du malware soit un acteur avancé, sans doute déjà bien connu. Autre indice qui va dans ce sens : l'attaque reste, pour le moment, unique, ce qui fait état d'un ciblage particulier.

Quant aux conséquences de cette attaque, Intezer penche donc pour de l'espionnage, « avec un mouvement latéral qui pourrait également conduire à une attaque par rançongiciel », lors d'une prochaine étape.

Source : Intezer

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (20)

Francis7
SysJoker crée un nouveau répertoire (C:\ProgramData\SystemData)<br /> Ils sont déjà louches ces répertoires-là à la base. De quoi rapidement éveiller les soupçons.<br /> Ca doit un casse-tête pour les Unices. <br /> En tout cas, l’utilisateur lambda n’a pas grand souci à se faire. C’est déjà ça.
Popoulo
"aucun n’est parvenu à le détecter sur macOS et Linux. Seuls six d’entre eux ont opéré un signalement sur la version Windows. Cela signifie " qu’au final, Windows serait plus sécure que les 2 autres.<br /> Après il serait bien de savoir comment il infecte réellement.
Bondamanmanw
Incroyable tous ces nouveaux malwares, ces failles découvertes chaque jour, on se croirait sous XP et son lot de malwares, Seven a vraiment eue une période d’accalmie.<br /> Récemment une faille vient d’être repérée au sein de Microsoft Defender, l’antivirus intégré à Windows 10.<br /> La faille en question date de 8 ans et n’a jamais été comblée par Microsoft. À ce jour, on ne sait pas si elle a pu être exploitée. Relativement simple, la faille est assez banale et simple à exploiter.
Spleeeen
«&nbsp;Ils sont déjà louches ces répertoires-là à la base.&nbsp;»<br /> 1/ Pourquoi est-il louche alors qu’il existe par défaut depuis Windows 95 ?<br /> 2/ Par défaut, indispensable et invisible, qui va le suspecter ?<br /> 3/ Pourquoi le quidam n’aurait pas à s’en soucier ? Nombre d’infections d’abord réservé à qq acteurs se sont généralisés.
Spleeeen
Plutôt ingénieux <br /> «&nbsp;un injecteur de premier niveau&nbsp;» De ce que je sais, ce type d’injecteur se comporte comme un cheval de Troie minimaliste qui lance ensuite des commandes pour installer (ou télécharger et installer) le logiciel malveillant a proprement parlé. Pourquoi parle-t-on de «&nbsp;premier ordre&nbsp;» ? (je n’ai vu ça nulle part).<br /> Une DLL est une bibliothèque dynamique (par opposition à statique, car les fonctions qui la contiennent sont chargées uniq. si besoin). Elle ne se lance pas seule, mais est chargé par un programme.<br /> → «&nbsp;une bibliothèque de liens dynamiques qui fournit la plupart des fonctionnalités du système d’exploitation&nbsp;», ne veut rien dire et est semble-t-il faux.<br /> Il faut être précis sans quoi c’est incompréhensible.
SPH
Plus un logiciel est gros, plus il peut avoir des bugs. Alors, imaginez avec Windows 10 (ou 11)
AlexLex14
Spleeeen:<br /> → « une bibliothèque de liens dynamiques qui fournit la plupart des fonctionnalités du système d’exploitation », ne veut rien dire et est semble-t-il faux.<br /> Du tout, non.<br /> Je te suggère cet excellent article de Microsoft qui détaille (ce que nous, nous ne pouvons pas détailler dans un seul et même article d’actu au risque de pondre des pavés de 2 500 mots à la moindre actualité ^^) davantage les propriétés d’une DLL &gt; Bibliothèque de liens dynamiques (DLL) - Windows Client | Microsoft Docs<br /> Avec pour citation :<br /> "Pour les Windows d’exploitation, la plupart des fonctionnalités du système d’exploitation sont fournies par la DLL. En outre, lorsque vous exécutez un programme sur l’un de ces systèmes d’exploitation Windows, une grande partie des fonctionnalités du programme peuvent être fournies par les DLL. Par exemple, certains programmes peuvent contenir de nombreux modules différents, et chaque module du programme est contenu et distribué dans des DLL.<br /> L’utilisation de DLLs permet de promouvoir la modularisation du code, la réutilisation du code, l’utilisation efficace de la mémoire et la réduction de l’espace disque. Ainsi, le système d’exploitation et les programmes se chargent plus rapidement, s’exécutent plus rapidement et prennent moins d’espace disque sur l’ordinateur"<br /> Je pense que les explications détaillées de Microsoft sont, si on en a le temps évidemment, plus instructives que les nôtres, que l’on ne peut pas détailler et encore moins dans des termes qui ne seraient accessibles qu’aux initiés. Ca peut être un des défauts de la «&nbsp;vulgarisation&nbsp;» <br /> Pour ce qui est de la qualification de «&nbsp;premier niveau&nbsp;» donnée par Intezer, je pense qu’il s’agit d’une formulation qui aide à résumer «&nbsp;le premier niveau ou début&nbsp;» de la démonstration de ce qu’est concrètement SysJoker.<br /> (Précisons que des journalistes issus d’autres médias - et je ne veux pas leur jeter la pierre hein - auraient sans doute botté en touche et n’auraient pas pris la peine de répondre à ton - pertinent - message. Mais parfois, c’est bien de prendre quelques minutes pour le faire, surtout si ça peut aider à comprendre telle ou telle chose).<br /> Bonne soirée
DrGeekill
6 qui ont fait une détection mais on aimerait bien savoir lesquels
Jolan
C:\ProgramData\SystemData existe par défaut ???<br /> Ca ressemble à un truc qui pourrait exister, mais cela n’existe pas.<br /> Je viens de vérifier sur plusieurs VM de différentes version de Windows.<br /> L’histoire me parait fumeuse : indétectable alors que c’est un fichier au nom bien précis dans un dossier bien précis !?!<br /> Il n’était peut-être pas répertorié, jusqu’ici. C’est tout.<br /> Pour le reste, rien dans l’article ne laisse entrevoir autre chose qu’un backdoor comme il en existe des dizaines. Un bootstrap qui télécharge un truc plus gros, ça n’a rien de neuf et c’est même plutôt classique (y compris dans les setup légitime).<br /> «&nbsp;arrive à se frayer un chemin&nbsp;» : c’est à dire? comment ? C’est ça qui serait intéressant.<br /> Si cela demande une action initiale de l’utilisateur, il n’y a rien de neuf.<br /> Parce qu’un fois qu’on est dans la machine, lancer un autre exe, des commandes PowerSheel ou télécharger des trucs, ça ne demande aucun génie. L’important c’est comment le premier étage arrive dans la machine et passe l’élévation de privilège. Tout ce qu’il y a après, c’est du blabla.<br /> Le truc qui m’a vraiment fait marrer c’est le : « avec un mouvement latéral qui pourrait également conduire à une attaque par rançongiciel » :<br /> Ca fait peur … il n’y a pas à dire. Mais, oui, un backdoor, ça fait ce que ça veux, donc éventuellement du rançongiciel.<br /> Mais des centaines de médias IT ont parlé de la société Intezer, capable de découvrir un trojan d’un nouveau genre.
AlexLex14
À ce stade, impossible de le savoir malheureusement… Mais il est possible (je dis bien «&nbsp;possible&nbsp;») qu’il y en ait davantage désormais qui soient capables de le détecter.
Francis7
Un trojan ou autre peut aussi faire planter un ordinateur, malgré lui malheureusement, ce qui alerte immédiatement. Les hackers ne sont pas toujours si vaillants et leurs bébés si infaillibles que cela.<br /> Dès lors où il y a eu plantage, le trojan ou autre n’est plus invisible/indétectable.
bmustang
ce dossier n’existe pas dans windows et pas comme le gus plus haut qui raconte n’importe quoi ?
exoje
ProgramData existe bien, de manière invisible par défaut, mais SystemData non.
cid1
, Bravo, mais j’aurais aimé plus de précisions de la part de Clubic comme quels antivirus l’ont signalés sur Windows.
Zimt
J’ai envie de pleurer de dépit quand je lis le mécanisme d’infection … et … non rien.<br /> Risible en fait.<br /> Il y a beaucoup plus efficace en mode stealth …
FLORIAN4600
Plus qu’une chose à faire:<br /> Machine virtuelle avec infos de débug.<br /> Nan en vrait je pense pas que l’on voient mieux comment il fonctionne comme ça.
orionb1
finalement, on espère qu’il n’est pas indétectable, mais surtout non détecté et que ça va très vite se corriger (y compris ses variants)<br /> mais de base, ce qui m’inquiète le plus, c’est qu’on ne sait pas comment il est arrivé là, et le fait qu’il infecte aussi bien Linux, MacOS que Windows ne me semble pas une bonne nouvelle
tfpsly
Ce n’est pas le même code qui infecte les 3 O/S, les implémentations sont spécifiques à chacun - mais on sait qu’elles viennent du même groupe car elles prennent des commandes à distance de la même façon.<br /> De l’article source :<br /> The malware is written in C++ and each sample is tailored for the specific operating system it targets.<br /> Quant à la méthode d’arrivée, c’est probablement l’installation d’un programme à partir d’une source non sure.
Francis7
tfpsly:<br /> Quant à la méthode d’arrivée, c’est probablement l’installation d’un programme à partir d’une source non sure.<br /> Il y a déjà eu des articles à ce sujet où c’est un dépôt par exemple qui a été volontairement infecté en y publiant le code malveillant dissimulé dans une soit disante mise à jour. Et par l’installation de mises à jours, l’infection se répand.<br /> L’exemple relaté était celui de Microsoft lui-même qui a été ou aurait été piraté par cette méthode. C’était l’article sur des données clients du support qui auraient été volées.
Axn40
Non, il n’y a jamais eu de ProgramData a la racine, l’original est dans windows/system32
Spleeeen
Oui et le dossier est caché… c’est une variable du système existant depuis Vista (et non 95)…<br /> https://share.getcloudapp.com/L1uWWk7j<br /> «&nbsp;L’original c’est…&nbsp;» gné ? Il y a des dizaines de répertoires systèmes sous Windows…<br /> Il faut vérifier avant d’affirmer (je sais ce n’est pas dans l’air du temps…)
Voir tous les messages sur le forum