Sikkerhedsforskere rapporterede om en ny bagdør, der er i stand til at målrette mod Windows, MacOS, og Linux operativsystemer.
SysJoker Backdoor Teknisk oversigt
Kaldes SysJoker, multi-platform malware er i øjeblikket ikke opdaget af nogen af sikkerhedsmotorerne i VirusTotal. SysJoker blev opdaget af Intezer-forskere under et aktivt angreb på en Linux-baseret webserver, der tilhører en førende uddannelsesinstitution.
At udbrede sig, malwaren skjuler sig selv som en systemopdatering og genererer dens kommando-og-kontrol ved at afkode en streng hentet fra en tekstfil hostet på Google Drev, Intezers rapport sagde. Under deres analyse, kommando-og-kontrol ændret tre gange, hvilket betyder, at angriberne er aktive og overvåger infektionsprocessen. Det ser ud til, at angrebene er ret specifikke.
Bagdøren er kodet i C++, med hver prøve skræddersyet til det specifikke operativsystem. Det skal bemærkes, at aktuelle både macOS- og Linux-eksemplerne er fuldstændig uopdagede i VirusTotal. Med hensyn til dens ondsindede adfærd, malwaren viser lignende egenskaber på de tre operativsystemer.
SysJoker indsamler specifikke systemoplysninger, inklusive MAC-adressen, brugernavn, fysiske mediers serienummer, og IP-adresse. Derefter, det opnår vedholdenhed ved at tilføje en post til registreringsdatabasenøglen HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun. Malwaren er også sat til at sove mellem de forskellige trin, den udfører.
"Baseret på malwarens muligheder vurderer vi, at målet med angrebet er spionage sammen med lateral bevægelse, hvilket også kan føre til et Ransomware-angreb som et af de næste stadier," rapporten indgået.
ElectroRAT er et andet eksempel på Multi-Platform Malware
Et ældre eksempel på en multi-platform malware målrettet mod Windows, macOS og Linux blev opdaget af de samme forskere i januar sidste år. Hedder ElectroRAT, den ondsindede operation var ret kompliceret i sin mekanisme, bestående af en marketingkampagne, brugerdefinerede applikationer relateret til kryptokurver, og et helt nyt værktøj til fjernadgang (RAT).