Nom : Retadup. Nature : ver informatique. Espérance de vie : désormais nulle, selon la gendarmerie nationale.
Cette dernière estime en effet être venue à bout de la menace.
Elle en avait été avertie en mars 2019 par Avast.
L’éditeur antivirus tchèque avait donné l’alerte après avoir constaté que l’infrastructure destinée à contrôler Retadup était localisée essentiellement en France*.
Son intérêt pour le ver informatique découlait du fait qu’il servait à distribuer un logiciel malveillant découvert au préalable : un mineur de cryptomonnaie.
D’après les derniers relevés, Retadup a infecté au moins 850 000 machines sous Windows, principalement en Amérique du Sud. Il a aussi servi à diffuser un rançongiciel et un aspirateur de mots de passe (Trend Micro avait évoqué ce cas dès 2017 dans des hôpitaux israéliens).
L’enquête a mis au jour une dizaine de variantes de Retadup. Certaines sont écrites en AutoIt ; d’autres en AutoHotKey. Dans les deux cas, la charge malveillante se compose de deux fichiers : un script et un interpréteur. En AutoHotKey, le script est en code source ; en AutoIt, il est compilé.
Le ver dispose de mécanismes d’autodéfense. Avant de tenter de s’implanter, il vérifie par exemple la présence de certaines solutions de sécurité et de virtualisation. Pour s’établir de façon permanente, il planifie une tâche ou modifie le registre Windows.
Son exécution est rendue plus discrète par l’utilisation de fichiers .lnk, c’est-à-dire des raccourcis dirigeant vers l’exécutable.
Le serveur de commande, en Node.js avec MongoDB, était situé chez un hébergeur en région parisienne.
En juillet, la gendarmerie a obtenu le feu vert du procureur de la République pour mettre en oeuvre le plan suggéré par Avast. En l’occurrence, saisir le serveur concerné et le remplacer par une copie modifiée afin de couper les ponts avec les machines infectées. Et ainsi endiguer la propagation.
* Le FBI a également été mis dans la boucle, une partie de l’infrastructure se trouvant aux États-Unis.
Photo d’illustration © fotogestoeber via Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…