Los investigadores de seguridad informaron una nueva puerta trasera capaz de apuntar a Windows, Mac OS, y sistemas operativos Linux.
Resumen técnico de SysJoker Backdoor
Llamado SysJoker, ninguno de los motores de seguridad de VirusTotal detecta actualmente el malware multiplataforma. SysJoker fue descubierto por investigadores de Intezer durante un ataque activo a un servidor web basado en Linux que pertenece a una institución educativa líder.
Propagar, el malware se oculta como una actualización del sistema y genera su comando y control al decodificar una cadena recuperada de un archivo de texto alojado en Google Drive, El informe de Intezer decía. Durante su análisis, el comando y control cambió tres veces, lo que significa que los atacantes están activos y monitorean el proceso de infección. Parece que los ataques son bastante específicos..
La puerta trasera está codificada en C++, con cada muestra adaptada de acuerdo con el sistema operativo específico. Cabe señalar que las muestras actualizadas de macOS y Linux no se detectan en VirusTotal. En cuanto a su comportamiento malicioso, el malware muestra capacidades similares en los tres sistemas operativos.
SysJoker recopila información específica del sistema, incluyendo la dirección MAC, nombre de usuario, número de serie del medio físico, y la dirección IP. Entonces, logra la persistencia agregando una entrada a la clave de ejecución del registro HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun. El malware también está configurado para dormir entre los diferentes pasos que realiza..
“Según las capacidades del malware, evaluamos que el objetivo del ataque es el espionaje junto con el movimiento lateral, lo que también podría conducir a un ataque de Ransomware como una de las próximas etapas.," el informe concluido.
ElectroRAT es otro ejemplo de malware multiplataforma
Un ejemplo más antiguo de un malware multiplataforma dirigido a Windows, macOS y Linux fueron detectados por los mismos investigadores en enero del año pasado. Llamado ElectroRAT, la operación maliciosa fue bastante elaborada en su mecanismo, que consiste en una campaña de marketing, aplicaciones personalizadas relacionadas con las criptomonedas, y una herramienta de acceso remoto completamente nueva (RATA).