Des chercheurs en sécurité ont signalé une nouvelle porte dérobée capable de cibler Windows, macOS, et systèmes d'exploitation Linux.
Présentation technique de la porte dérobée SysJoker
Appelé SysJoker, le malware multiplateforme n'est actuellement détecté par aucun des moteurs de sécurité de VirusTotal. SysJoker a été découvert par des chercheurs d'Intezer lors d'une attaque active contre un serveur Web basé sur Linux appartenant à un établissement d'enseignement de premier plan..
se propager, le malware se cache comme une mise à jour du système et génère sa commande et son contrôle en décodant une chaîne récupérée à partir d'un fichier texte hébergé sur Google Drive, Le rapport d'Intezer dit. Au cours de leur analyse, le commandement et le contrôle ont changé trois fois, ce qui signifie que les attaquants sont actifs et surveillent le processus d'infection. Il semble que les attaques soient assez spécifiques.
La porte dérobée est codée en C++, avec chaque échantillon adapté en fonction du système d'exploitation spécifique. Il convient de noter que les échantillons macOS et Linux actuels ne sont pas du tout détectés dans VirusTotal. En termes de comportement malveillant, le malware montre des capacités similaires sur les trois systèmes d'exploitation.
SysJoker collecte des informations système spécifiques, y compris l'adresse MAC, Nom d'utilisateur, numéro de série du support physique, et l'adresse IP. Puis, il atteint la persistance en ajoutant une entrée à la clé d'exécution du registre HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun. Le malware est également mis en veille entre les différentes étapes qu'il effectue.
« Sur la base des capacités du malware, nous évaluons que le but de l'attaque est l'espionnage avec un mouvement latéral qui pourrait également conduire à une attaque Ransomware comme l'une des prochaines étapes," le rapport conclu.
ElectroRAT est un autre exemple de malware multiplateforme
Un exemple plus ancien de malware multiplateforme ciblant Windows, macOS et Linux ont été détectés par les mêmes chercheurs en janvier de l'année dernière. Appelé ElectroRAT, l'opération malveillante était assez élaborée dans son mécanisme, consistant en une campagne marketing, applications personnalisées liées aux crypto-monnaies, et un tout nouvel outil d'accès à distance (RAT).