Pesquisadores de segurança relataram um novo backdoor capaz de direcionar o Windows, Mac OS, e sistemas operacionais Linux.
Visão geral técnica do SysJoker Backdoor
Chamado SysJoker, o malware multiplataforma atualmente não é detectado por nenhum dos mecanismos de segurança do VirusTotal. SysJoker foi descoberto por pesquisadores da Intezer durante um ataque ativo em um servidor web baseado em Linux que pertence a uma instituição educacional líder.
Para propagar, o malware se esconde como uma atualização do sistema e gera seu comando e controle decodificando uma string recuperada de um arquivo de texto hospedado no Google Drive, O relatório da Intezer disse. Durante sua análise, o comando e controle mudou três vezes, o que significa que os invasores estão ativos e monitorando o processo de infecção. Parece que os ataques são bastante específicos.
O backdoor é codificado em C++, com cada amostra adaptada de acordo com o sistema operacional específico. Deve-se notar que os exemplos atuais de macOS e Linux não são totalmente detectados no VirusTotal. Em termos de seu comportamento malicioso, o malware mostra recursos semelhantes nos três sistemas operacionais.
SysJoker coleta informações específicas do sistema, incluindo o endereço MAC, nome do usuário, número de série da mídia física, e endereço IP. Então, ele atinge a persistência adicionando uma entrada à chave de execução do registro HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun. O malware também está configurado para dormir entre as diferentes etapas que executa.
“Com base nas capacidades do malware, avaliamos que o objetivo do ataque é a espionagem junto com o movimento lateral que também pode levar a um ataque de Ransomware como um dos próximos estágios," o relatório concluiu.
ElectroRAT é outro exemplo de malware multiplataforma
Um exemplo mais antigo de um malware multiplataforma direcionado ao Windows, macOS e Linux foram detectados pelos mesmos pesquisadores em janeiro do ano passado. Chamado ElectroRAT, a operação maliciosa era bastante elaborada em seu mecanismo, consistindo em uma campanha de marketing, aplicativos personalizados relacionados a criptomoedas, e uma ferramenta de acesso remoto totalmente nova (RATO).
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: