Une nouvelle menace plane sur les ordinateurs Windows. Des chercheurs ont débusqué un redoutable virus espion capable de neutraliser Microsoft Defender, l’antivirus par défaut de l’OS, en s’appuyant sur une double stratégie. Le malware pille ensuite toutes les données de l’ordinateur.
Les chercheurs de Cyfirma mettent en garde les utilisateurs Windows. Les experts indiquent avoir découvert la trace d’un nouveau malware visant le système d’exploitation, CyberEYE. Il s’agit d’un cheval de Troie muni d’un module d’accès à distance qui permet à des pirates de prendre le contrôle d’un ordinateur.
Le logiciel malveillant est massivement diffusé par le biais de canaux Telegram, l’un des repaires préférés des cybercriminels, et référentiels GitHub publics. Deux pirates, qui se font appeler @cisamul23 et @CodQu, sont à l’origine du malware. Ils proposent celui-ci à d’autres cybercriminels, moyennant le paiement d’un abonnement. Le virus se distingue par sa facilité d’utilisation.
Le virus sert surtout à dérober les données personnelles des victimes, surtout des informations d’identification, des clés privées liées à des portefeuilles crypto, et des mots de passe Wi-Fi. Les données sont exfiltrées par un robot Telegram mis au point par les cybercriminels. C’est pourquoi le virus est parfois appelé TelegramRAT.
À lire aussi : une faille de sécurité « critique » a été découverte dans Microsoft Defender
Comment CyberEYE neutralise Microsoft Defender ?
CyberEYE tire surtout son épingle du jeu grâce à sa capacité à désactiver Microsoft Defender, l’antivirus par défaut des ordinateurs sous Windows. Pour le neutraliser, le virus modifie directement le registre de Windows. En modifiant des valeurs dans le registre, le malware peut désactiver les principales fonctions de l’antivirus. Il s’attaque tout d’abord à la protection contre les modifications non autorisées, qui est censée prévenir toute désactivation de l’antivirus.
Afin de parachever la désactivation de Defender, CyberEYE exécute des commandes PowerShell qui vont bloquer les autres protections offertes par l’antivirus. Avec cette double offensive, CyberEYE s’assure de neutraliser complètement les défenses de Windows Defender, même celles qui auraient résisté aux modifications du registre. Tout le processus se déroule sans que l’utilisateur se doute de quoi que ce soit.
Une fois que l’antivirus est paralysé, le virus est libre de dérober les données de l’utilisateur en toute impunité. Notez que CyberEYE est doté d’une foule de mécanismes de persistance qui visent à s’assurer que le virus reste bien implanté sur l’ordinateur. Pour Cyfirma, CyberEYE est une « nouvelle menace persistante » qui met en danger les ordinateurs Windows. Les chercheurs s’attendent à ce que « de nouvelles variantes » du virus soient rapidement développées par les cybercriminels, accroissant les risques pour les utilisateurs. Cyfirma ne précise pas comment le malware se propage sur les ordinateurs. La méthode d’infection dépend probablement des pirates qui se servent du virus.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Cyfirma