Dans son étude parue le 31 mars, Symantec Corporate soulève les dangers d’un nouveau virus informatique conçu par un pirate koweitien et qui fait florès dans tout le monde arabe. Surnommé njRAT, ce programme malveillant contrôle à distance toutes les données disponibles dans un réseau d’ordinateurs en le pénétrant frauduleusement.

Si les hackers saoudiens sont les premiers utilisateurs de ce virus, le Maroc n’est pas épargné car les pirates marocains se classent à la 5^e place des fans de njRat et 10% des serveurs qui hébergent le virus njRAT s’y trouvent, selon l’étude.

njRAT, un virus malfaisant de conception arabe

Sur la totalité des serveurs de contrôle-commande à distance répertoriés par Symantec, 80% se trouvent au Maroc, en Arabie Saoudite, en Irak, en Tunisie, en Égypte et en Algérie. Ce logiciel commence à peine à étendre ses tentacules sur l’ensemble des pays de la région Mena. Accessible au public depuis juin 2013, ce virus a connu pas moins de trois versions qui se propagent via des clés USB infectées ou des disques en réseau.

Les victimes deviennent alors des “machines zombies“ consentantes qui se retrouvent à la merci totale du pirate aux commandes. Si la majorité des hackers qui utilisent njRAT relèvent plus de la cybercriminalité normale, il apparaît que d’autres se servent de plus en plus de ce malware pour cibler tous les gouvernements.

En analysant 721 échantillons de njRAT, Symantec évalue à travers le monde le nombre d’ordinateurs infectés à 24.000 et a identifié 487 groupes de hackers dont nombre de Marocains ayant monté des attaques à l'aide de njRAT .

Les motivations de ces pirates sont diverses, mais peuvent être regroupées en trois grandes catégories qui sont le cyber activisme, le vol de renseignements et la construction de réseaux “d'ordinateurs zombies“.

Symantec qualifie la menace actuelle qui pèse sur de nombreux pays arabes dont le Maroc de “Backdoor Ratenjay“ ou virus s’introduisant par une porte dérobée.

Outre par les sites Web malveillants, l’ouverture des portes dérobées s’active lors de téléchargement de programmes freeware ou shareware non fiables, de clics sur des fausses publicités ou pop-ups, ou d’ouverture de spams d’e-mails.

Une fois entré par effraction dans le système de l’ordinateur infecté, il prend le contrôle de toutes les informations des PC sous Windows. Le but étant de voler les dossiers personnels ou de dérober des informations sensibles comme les numéros de carte de crédit ou de compte bancaire.

Une pandémie cybercriminelle ?

Son développement est dû au fait qu’Il existe une grande communauté en ligne capable d'apporter une assistance arabophone sous la forme d'instructions et de tutoriels assurant une diffusion maximale. La majorité des utilisateurs de njRAT sont des amateurs d’origine arabe qui veulent jouer des mauvais tours à leurs victimes en recourant à l’espionnage par webcams interposées ou par la capture d'écrans d'ordinateurs à distance.

L’inquiétude principale de Symantec est qu’elle a décelé de plus en plus d’infections sur les réseaux de plusieurs gouvernements et auprès de militants politiques. En effet, en raison de sa facile accessibilité, ce virus pourrait selon Symantec, connaître à l’avenir une mutation plus inquiétante. La société de protection des informations numériques estime que ses utilisateurs vont trouver de nouveaux moyens de masquer le malware pour le rendre indétectable par les logiciels anti-virus.

A terme, Symantec prédit que ces groupes n’utiliseront plus d'outils accessibles au public comme njRAT mais se mettront à développer des outils d'accès à distance plus sophistiqués.