I ricercatori di sicurezza hanno segnalato una nuova backdoor in grado di prendere di mira Windows, Mac OS, e sistemi operativi Linux.
Panoramica tecnica della backdoor di SysJoker
Si chiama SysJoker, il malware multipiattaforma non viene attualmente rilevato da nessuno dei motori di sicurezza in VirusTotal. SysJoker è stato scoperto dai ricercatori Intezer durante un attacco attivo a un server Web basato su Linux che appartiene a un importante istituto di istruzione.
Propagare, il malware si nasconde come aggiornamento di sistema e ne genera il comando e il controllo decodificando una stringa recuperata da un file di testo ospitato su Google Drive, Diceva il rapporto di Intezer. Durante la loro analisi, il comando e il controllo sono cambiati tre volte, il che significa che gli aggressori sono attivi e monitorano il processo di infezione. Sembra che gli attacchi siano piuttosto specifici.
La backdoor è codificata in C++, con ogni campione personalizzato in base al sistema operativo specifico. Va notato che gli esempi aggiornati di macOS e Linux non sono stati rilevati completamente in VirusTotal. In termini di comportamento dannoso, il malware mostra capacità simili sui tre sistemi operativi.
SysJoker raccoglie informazioni di sistema specifiche, compreso l'indirizzo MAC, Nome utente, numero di serie del supporto fisico, e l'indirizzo IP. Poi, raggiunge la persistenza aggiungendo una voce alla chiave di esecuzione del registro HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun. Il malware è anche impostato per dormire tra i diversi passaggi che esegue.
"Sulla base delle capacità del malware, valutiamo che l'obiettivo dell'attacco è lo spionaggio insieme al movimento laterale che potrebbe anche portare a un attacco Ransomware come una delle fasi successive," il rapporto concluso.
ElectroRAT è un altro esempio di malware multipiattaforma
Un vecchio esempio di malware multipiattaforma che prende di mira Windows, macOS e Linux sono stati rilevati dagli stessi ricercatori nel gennaio dello scorso anno. Chiamato ElectroRAT, l'operazione dannosa era piuttosto elaborata nel suo meccanismo, costituito da una campagna di marketing, applicazioni personalizzate relative alle criptovalute, e uno strumento di accesso remoto completamente nuovo (RAT).