SysJoker : le malware indétectable depuis plusieurs mois sur Windows, macOS et Linux - Clubic

depuis un moment, le malware.

« SysJoker », c'est son nom, est capable de se frayer un chemin sur divers systèmes d'exploitation connus de tous : Windows, macOS et Linux.

Il est parvenu à rester loin des radars des différents systèmes, logiciels et plateformes de détection de l'univers cyber, et ce durant plusieurs mois.

Ce sont finalement des chercheurs d'Intezer, une société de sécurité informatique new-yorkaise, qui ont réussi à découvrir ce malware d'un nouveau genre, qui agit en tant que backdoor (porte dérobée).

C'est à partir de cette trouvaille qu'ils ont mené une enquête plus approfondie et baptisé le malware SysJoker, qui brille par sa capacité à passer outre les logiciels de détection, en se faisant passer pour une mise à jour système.

Après enquête, les chercheurs ont aussi localisé la porte dérobée sur Windows et macOS, deux autres systèmes d'exploitation.

un échantillon du malware, via la solution VirusTotal, et accrochez-vous bien : aucun n'est parvenu à le détecter sur macOS et Linux.

Sous Windows, SysJoker comporte un injecteur de premier niveau, qui prend la forme d'une DLL (une bibliothèque de liens dynamiques qui fournit la plupart des fonctionnalités du système d'exploitation) qui va s'introduire dans le système, pour ensuite lancer des commandes PowerShell qui vont permettre de décompresser SysJoker (qui est alors au format ZIP) puis de l'exécuter.

Au bout d'un moment, il parvient à décoder un lien Google Drive à la base codé en dur et accède au fichier qui contient l'adresse des serveurs de commande et de contrôle (C2 ou C&C), fichier qui est d'ailleurs capable de changer au fil du temps.

Au final, SysJoker parvient à recueillir les informations nécessaires à l'exécution de commandes (exe, cmd, remove_reg et exit) ou à l'installation d'autres malwares.