La bourse est fermée
  • CAC 40

    6 965,88
    -57,92 (-0,82 %)
     
  • Euro Stoxx 50

    4 136,91
    -48,06 (-1,15 %)
     
  • Dow Jones

    34 725,47
    +564,69 (+1,65 %)
     
  • EUR/USD

    1,1152
    +0,0005 (+0,04 %)
     
  • Gold future

    1 792,30
    -2,70 (-0,15 %)
     
  • BTC-EUR

    33 924,57
    +506,57 (+1,52 %)
     
  • CMC Crypto 200

    863,83
    +21,37 (+2,54 %)
     
  • Pétrole WTI

    87,29
    +0,68 (+0,79 %)
     
  • DAX

    15 318,95
    -205,32 (-1,32 %)
     
  • FTSE 100

    7 466,07
    -88,24 (-1,17 %)
     
  • Nasdaq

    13 770,57
    +417,79 (+3,13 %)
     
  • S&P 500

    4 431,85
    +105,34 (+2,43 %)
     
  • Nikkei 225

    26 717,34
    +547,04 (+2,09 %)
     
  • HANG SENG

    23 550,08
    -256,92 (-1,08 %)
     
  • GBP/USD

    1,3401
    +0,0019 (+0,14 %)
     

Attention à ce malware qui piège les antivirus !

·2 min de lecture

Un nouveau malware a été découvert qui s’attaque aussi bien à Windows, macOS et Linux. L’intrus a été repéré en décembre sur un serveur Web Linux d’une institution éducative par les chercheurs en cybersécurité d’Intezer. Ils l’ont baptisé SysJoker pour sa capacité à se faire passer pour une mise à jour système afin d’éviter la détection.

Les chercheurs ont soumis un échantillon du malware sur le site VirusTotal, qui permet de faire analyser des fichiers par plus de 70 logiciels antivirus. Aucun n’a réussi à détecter les versions Linux et macOS. Pour la version Windows, seuls six antivirus ont signalé un problème.

Vers une demande de rançon ?

Sur Windows, SysJoker utilise un « injecteur » (ou dropper) sous la forme d’une bibliothèque DLL afin de s’introduire dans le système. C’est celui-ci qui va ensuite installer le malware à proprement parler. Une fois en place, il lance des commandes dans Windows PowerShell pour télécharger le dossier compressé (ZIP) contenant le programme, le décompresser et l’exécuter. Une fois démarré, SysJoker marque une pause d’une durée aléatoire de 90 à 120 secondes. Ensuite, il crée le dossier C:\ProgramData\SystemData\ et s’y enregistre sous le nom igfxCUIService.exe afin de se faire passer pour le pilote graphique Intel.

Le programme se connecte ensuite à un lien Google Drive pour télécharger un fichier texte contenant l’adresse des serveurs de commande et de contrôle (C&C), qui lui transmettront des instructions pour installer d’autres malwares ou exécuter des commandes. Selon les chercheurs, ce fichier a été mis à jour plusieurs fois depuis qu’ils le surveillent, montrant que son auteur est toujours actif. D’après son comportement, il semble que le malware vise des cibles spécifiques. Les chercheurs estiment que son but est d’abord d’espionner ses victimes, et que l’étape suivante pourrait être une attaque de type ransomware.

> Lire la suite sur Futura

À lire aussi sur Futura

Notre objectif est de créer un endroit sûr et engageant pour que les utilisateurs communiquent entre eux en fonction de leurs centres d’intérêt et de leurs passions. Afin d'améliorer l’expérience dans notre communauté, nous suspendons temporairement les commentaires d'articles