Pour gérer vos consentements :
Categories: Sécurité

Retadup : fin de parcours pour ce ver informatique contrôlé depuis la France

Nom : Retadup. Nature : ver informatique. Espérance de vie : désormais nulle, selon la gendarmerie nationale.

Cette dernière estime en effet être venue à bout de la menace.
Elle en avait été avertie en mars 2019 par Avast.

L’éditeur antivirus tchèque avait donné l’alerte après avoir constaté que l’infrastructure destinée à contrôler Retadup était localisée essentiellement en France*.
Son intérêt pour le ver informatique découlait du fait qu’il servait à distribuer un logiciel malveillant découvert au préalable : un mineur de cryptomonnaie.

D’après les derniers relevés, Retadup a infecté au moins 850 000 machines sous Windows, principalement en Amérique du Sud. Il a aussi servi à diffuser un rançongiciel et un aspirateur de mots de passe (Trend Micro avait évoqué ce cas dès 2017 dans des hôpitaux israéliens).

Une copie presque parfaite

L’enquête a mis au jour une dizaine de variantes de Retadup. Certaines sont écrites en AutoIt ; d’autres en AutoHotKey. Dans les deux cas, la charge malveillante se compose de deux fichiers : un script et un interpréteur. En AutoHotKey, le script est en code source ; en AutoIt, il est compilé.

Le ver dispose de mécanismes d’autodéfense. Avant de tenter de s’implanter, il vérifie par exemple la présence de certaines solutions de sécurité et de virtualisation. Pour s’établir de façon permanente, il planifie une tâche ou modifie le registre Windows.

Son exécution est rendue plus discrète par l’utilisation de fichiers .lnk, c’est-à-dire des raccourcis dirigeant vers l’exécutable.

Le serveur de commande, en Node.js avec MongoDB, était situé chez un hébergeur en région parisienne.
En juillet, la gendarmerie a obtenu le feu vert du procureur de la République pour mettre en oeuvre le plan suggéré par Avast. En l’occurrence, saisir le serveur concerné et le remplacer par une copie modifiée afin de couper les ponts avec les machines infectées. Et ainsi endiguer la propagation.

* Le FBI a également été mis dans la boucle, une partie de l’infrastructure se trouvant aux États-Unis.

Photo d’illustration © fotogestoeber via Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago