Los investigadores han encontrado una puerta trasera sin precedentes desde cero para los sistemas que ejecutan Windows, macOS o Linux que no son detectados por todos los motores de análisis de malware.
Investigadores de la firma de seguridad Intezer Dicho Encontraron el nombre SysJoker-backdoor en el servidor web basado en Linux de la «institución educativa líder». Cuando los investigadores investigaron, encontraron versiones de SysJoker para Windows y macOS. Sospechan que se lanzó malware multiplataforma en la segunda mitad del año pasado.
La innovación es importante por muchas razones. Primero, el malware completamente multiplataforma es tan raro que la mayoría del software malicioso está escrito para un sistema operativo específico. Backdoor también se escribió desde cero y usó cuatro servidores de comando y control diferentes, lo que indica que las personas que lo desarrollaron y usaron eran parte de un actor de amenazas avanzado que invirtió recursos significativos. No es raro encontrar malware Linux sin precedentes en un ataque del mundo real.
Los análisis de la versión de Windows (a través de Intezer) y la versión para Mac (por el investigador Patrick Wardle) han encontrado que SysJoker ofrece capacidades avanzadas de puerta trasera. Los archivos ejecutables para las versiones de Windows y macOS tienen el sufijo .ts. Intezer puede ser una referencia enmascarada en un archivo Tipo de guión La aplicación se extendió después de que npm se infiltrara en el repositorio de JavaScript. Integer dice que el sistema de enmascaramiento de Sysjoker está actualizado.
Wardle, mientras tanto, puede indicar que el archivo de extensión .ts ha sido enmascarado Flujo de transporte de video Sujeto. También descubrió que el archivo de MacOS estaba firmado digitalmente. firma provisional.
SysJoker está escrito en C ++ y, a partir del martes, las versiones de Linux y macOS no se reconocen por completo en el motor de búsqueda de malware VirusTotal. Backdoor genera su dominio de servidor de control al decodificar una cadena recuperada de un archivo de texto alojado en Google Drive. Mientras los investigadores lo analizaban, el servidor cambió tres veces, lo que indica que el atacante estaba activo y estaba monitoreando las máquinas infectadas.
Según el comportamiento de las empresas objetivo y el malware, Intezer estima que SysJoker puede perseguir objetivos específicos, con el objetivo de «espiar junto con el movimiento lateral que conduce a un ataque de ransomware como uno de los próximos pasos».
«Orgulloso pionero de Twitter. Analista. Comunicador. Geek web profesional. Especialista en música de por vida».