JeSuisCharlie : Un malware basé sur DarkComet RAT infecte des millions d’ordinateurs

3
195

Ce mois-ci, les chercheurs de Blue Coat Systems ont découvert la propagation massive d’un malware nommé “JeSuisCharlie”, infectant des millions de machines et les transformant en PC zombies.

Les pirates à l’origine de cette infection de masse basée essentiellement sur l’aspect viral créé par les récents attentats et les vives réactions sur les réseaux sociaux semblent néanmoins être des amateurs, de simples script kiddies. UnderNews vous explique pourquoi.

Les chercheurs de Blue Coat Systems ont découvert mi-janvier cette infection et ont rapidement analysé la menace. Le bilan est lourd puisque les experts parlent de millions de victimes infectées depuis les attentats. Les pirates ont exploité le terme “Je suis Charlie” qui a eu une puissance virale hors du commun sur le Web et les réseaux sociaux.

Jusqu’à là, vous vous direz surement que tout cela semble très habile et que ces pirates doivent avoir de sérieuses compétences… mais il n’en est rien ! Les chercheurs se sont intéressés à la signature du malware (md5 hash 3c5266cab10c78f3a49985806c217a40) et ont très rapidement découvert la vérité : il s’agit en fait d’une version repackée du célèbre DarkComet RAT (aka Fynloski par Microsoft), développé par le français DarkCoderSc ! Il est codé en Delphi et le packer utilisé par les pirates semble être basé sur .NET afin de tenter de contourner la détection des antivirus.

L’outil est de type trojan/backdoor et permet de prendre la main sur un ordinateur connecté et de le transformer en zombie au sein d’un réseau botnet. Ensuite, le botmaster peut facilement lancer des attaques par déni de service, convertir les zombies en proxy, etc.

charlie-malware-image

La méthode d’infection ? Le malware est camouflé dans une photo, partagée plus de 5 millions de fois sur Twitter en 48 heures. Cette image reprend la main de ce nouveau né baptisé Charlie. A mi-janvier, le taux de détection du malware était de 2/57 sur VirusTotal, il est actuellement de 39/57.

dark-malware

Bien entendu, l’auteur original de cet outil non conçu à la base pour le piratage, DarkCoderSc, a rapidement exprimé son énervement à voir ainsi son logiciel détourné et utilisé à des fins cybercriminelles. Rapellons qu’il avait officiellement laissé tombé le projet DarkComet RAT il y a deux ans, après que le gouvernement Syrien l’ai détourné à des fins malveillantes. D’ailleurs, c’est lui-même qui a conçu et distribué gratuitement un programme permettant l’éradication de son RAT, DarkComet RAT Remover 1.0, disponible à cette adresse.

Le plus drôle est que le centre de commande et de contrôle du malware repacké pour repousser temporairement la détection des antivirus est situé sur une adresse No-IP, rattaché au domaine snakes63.no-ip[.]org. Le forum spécialisé dans les menaces virales Malekal s’est d’ailleurs fait un plaisir d’exposer la localisation du pirate en herbe…

En définitive, le malware JeSuisCharlie ne démontre que l’agilité des pirates informatique à s’adapter aux situations et à les exploiter afin de les tourner à leur avantage.

3 Commentaires

  1. Etre charlie ou etre script kiddies c’est pareil quoi, vous faites chiez tout les monde 🙂

    Moi, français d’origine espagnol, je suis fière que Charlie soit mort.

    Le respect c’est plus important que la vie, car sans respecte y’aurait pas de vie car que des guerre.

    Merci à ceux qui tue pour la paix, car moi j’en ai pas les couilles.

  2. èToute facon twitter et facedebook sont 2 choses a ne pas visité pour eviter les daubes comme ce malware .Puis etaler sa vie sur les reseaux sociaux c est juste bon pour les noob

Les commentaires sont fermés.