Experții în securitate avertizează cu privire la noile programe malware backdoor concepute să funcționeze pe Windows, Mac și Linux, unele versiuni ale cărora sunt momentan nedetectate în Virus Total. Supranumit „SysJoker” de către cercetătorii de la Intezer, malware-ul a fost descoperit în timpul unui atac asupra unui server web Linux care rulează într-o organizație din sectorul educației.
Se crede că datează din a doua jumătate a anului 2021. „SysJoker se preface ca o actualizare de sistem și își generează C2 [comandă și control] prin decodificarea unui șir preluat dintr-un fișier text găzduit pe Google Drive”, a explicat furnizorul într-o postare pe blog. „În timpul analizei noastre, C2 s-a schimbat de trei ori, indicând că atacatorul este activ și monitorizează mașinile infectate. Pe baza victimologiei și a comportamentului malware-ului, evaluăm că SysJoker urmărește anumite ținte.”
Malware-ul este scris în C++, fiecare eșantion fiind personalizat pentru sistemul de operare pe care îl țintește. În mod îngrijorător, versiunile Linux și macOS au fost complet nedetectate în VirusTotal la momentul scrierii.
În afară de versiunea Windows care conține un dropper de primă etapă, toate cele trei variante funcționează la fel. După execuție, malware-ul durează până la 120 de secunde, apoi creează un director și se copiază sub acest director, pretinzând a fi un executabil al serviciului de interfață de utilizator comun grafică Intel. Apoi adună în secret informații despre mașină și obține persistență, dormind între acești pași. Comunicarea cu serverul C2 se realizează prin decodarea unui link Google Drive codificat, care conține un fișier text (“domain.txt”) cu un C2 codificat. C2 ar putea descărca programe malware suplimentare sau poate rula alte comenzi pe computerul victimei. Intezer a susținut că există mai multe motive pentru care SysJoker ar putea fi opera unui actor sofisticat.
A fost scris de la zero și nu a mai fost văzut înainte în alte atacuri în sălbăticie – aparent o raritate pentru malware Linux. Atacatorul a înregistrat cel puțin patru domenii separate și a scris malware pentru trei platforme distincte. „În timpul analizei noastre, nu am asistat la o a doua etapă sau la o a doua comandă trimisă de atacator”, a concluzionat Intezer. „Acest lucru sugerează că atacul este specific, ceea ce se potrivește de obicei unui actor avansat.
Sursa : infosecurity-magazine.com