Posté le janvier 13, 2022 à 7:02

LES HACKERS CIBLENT DIFFÉRENTS SYSTÈMES D’EXPLOITATION AVEC CE NOUVEAU LOGICIEL MALVEILLANT

Des chercheurs ont découvert un nouveau logiciel malveillant qui est distribué par le biais de paquets NPM malveillants. Selon le rapport, le logiciel malveillant se propage discrètement, les versions Linux et Mac ayant échappé à toute détection dans VirusTotal.

Bien que les variantes macOS et Linux ne disposent pas d’un dropper de première étape tel qu’une DLL, elles mènent les mêmes activités malveillantes sur l’appareil infecté.

Le logiciel malveillant est resté longtemps indétecté

Le logiciel malveillant a été détaillé par les chercheurs d’Intezer, qui l’ont nommé SysJoker. Le logiciel malveillant a été découvert lorsque les hackers enquêtaient sur une attaque contre un serveur web basé sur Linux. Au cours de l’enquête, les chercheurs ont découvert que, même si SysJoker était déjà présent sur les serveurs, il ne s’agissait pas du logiciel malveillant responsable de l’attaque.

Le logiciel malveillant est écrit en C++, chaque variante étant conçue spécifiquement pour un système d’exploitation différent. Cependant, elles sont toutes restées indétectées par VirusTotal, un logiciel de scan en ligne qui utilise 57 moteurs de détection antivirus différents.

Le logiciel malveillant SysJoker recueille des informations sur l’appareil ciblé à l’aide de commandes LOtL (Living Off The Land). Les chercheurs ont également déclaré que le logiciel malveillant utilise différents fichiers texte pour enregistrer les résultats des commandes.

Ensuite, il supprime immédiatement les fichiers texte, mais les stocke dans un objet JASON avant de les encoder et de les écrire dans un fichier nommé « mcrosoft_Windows.dhh ».

En outre, les acteurs malveillants ont déployé le logiciel malveillant pour créer une persistance en incluant une nouvelle clé de registre alors qu’ils intercalent les temps de sommeil de la ransomware entre toutes les fonctions.

Le logiciel malveillant peut être utilisé pour transmettre d’autres logiciels malveillants

Compte tenu de la nature du logiciel malveillant et de la manière dont il a été configuré pour fournir une porte dérobée aux systèmes, l’objectif des hackers pourrait être l’espionnage. En outre, le logiciel malveillant peut être utilisé comme un outil pour transmettre des logiciels malveillants supplémentaires aux systèmes compromis.

« Sur la base des capacités du logiciel malveillant, nous estimons que l’objectif de l’attaque est l’espionnage ainsi que le mouvement latéral », ont noté les chercheurs, ajoutant que leurs activités pourraient aboutir à des attaques de ransomware à long terme.

SysJoker a infecté des appareils en se faisant passer pour une mise à jour système

Les chercheurs ont également déclaré que le logiciel malveillant SysJoker était utilisé comme une mise à jour du système pour tromper les utilisateurs de systèmes macOS et Linux. Cependant, il se fait passer pour des pilotes Intel lorsqu’il s’agit de la version Windows.

La manière dont les acteurs de la menace ont diffusé les fausses mises à jour de pilotes n’est pas claire, mais la nature des mises à jour les rend authentiques et peut inciter les utilisateurs à les installer.

Les chercheurs ont également déclaré que les noms des mises à jour comme « updateSystem » et « updateMacOs » sont génériques par nature, ce qui peut éveiller les soupçons.

Les hackers surveillent de près les campagnes

Selon l’analyse des chercheurs, les acteurs de la menace ont commencé à déployer activement le logiciel malveillant au cours du second semestre 2021. Le rapport révèle également que les hackers responsables du déploiement surveillent de près les campagnes.

De plus, les attaquants ne cessent de changer les domaines de commande et de contrôle pour contourner les contrôles de sécurité. Les chercheurs ont noté que les hackers ont déjà changé leurs noms de domaine plus de trois fois après la découverte initiale du logiciel malveillant en décembre. Cela signifie que les hackers surveillent activement les cibles.

Les hackers utilisent des techniques sophistiquées

La façon dont le logiciel malveillant cible plusieurs systèmes d’exploitation, la façon dont les auteurs de la menace choisissent leurs cibles et l’attention qu’ils portent aux victimes compromises montrent que les concepteurs du logiciel malveillant peuvent être qualifiés d' »acteurs de menace avancée » ou APT.

En général, la plupart des acteurs de menaces dépensent de l’argent pour acheter des programmes et des codes qu’ils utilisent pour lancer des attaques. Cependant, ce groupe a écrit ses codes à partir de rien, ce qui montre leur haut niveau de sophistication dans le domaine. Cela montre que les auteurs de menaces savent exactement ce qu’ils font et le type de victimes qu’ils ciblent.

Le seul point positif de cette campagne de logiciels malveillants est le fait qu’elle ne s’est pas propagée à grande échelle. Mais c’est parce que les attaquants semblent plus intéressés par des cibles spécifiques et peuvent rester cachés sur les appareils touchés pendant une longue période. S’il n’y avait pas eu de recherche sur une autre attaque, le logiciel malveillant serait resté caché plus longtemps.

Les chercheurs ont conseillé aux utilisateurs d’éviter d’être victimes de l’attaque. Les utilisateurs ont été invités à utiliser des scanners de mémoire qui peuvent découvrir les charges utiles malveillantes qui ont potentiellement été installées. En outre, les administrateurs Web doivent être attentifs aux activités potentiellement suspectes et enquêter lorsqu’ils découvrent quelque chose de suspect.