Pesquisadores descobriram um backdoor nunca antes visto escrito do zero para sistemas que executam Windows, macOS ou Linux que não foi detectado por praticamente todos os mecanismos de verificação de malware.
Pesquisadores da empresa de segurança Intezer dizendo eles descobriram o SysJoker, como chamavam o backdoor, no servidor web baseado em Linux de uma “instituição educacional líder”. À medida que os pesquisadores se aprofundavam, eles também encontraram versões do SysJoker para Windows e macOS. Eles suspeitam que o malware multiplataforma foi lançado no segundo semestre do ano passado.
A descoberta é significativa por várias razões. Em primeiro lugar, o malware multiplataforma é uma raridade, pois a maioria dos malwares é escrita para um sistema operacional específico. O backdoor também foi escrito do zero e usou quatro servidores separados de comando e controle, uma indicação de que as pessoas que o desenvolveram e usaram faziam parte de um agente de ameaças avançado que investiu recursos significativos. Também é incomum que um malware Linux nunca antes visto seja encontrado em um ataque do mundo real.
A análise da versão para Windows (da Intezer) e da versão para Mac (pelo pesquisador Patrick Wardle) descobriu que o SysJoker fornece recursos avançados de backdoor. Os arquivos executáveis para as versões Windows e macOS tinham o sufixo .ts. Intezer disse que pode ser uma indicação de que o arquivo estava disfarçado de escrever roteiro O aplicativo foi estendido depois de entrar no repositório JavaScript npm. A Intezer continuou dizendo que o SysJoker está se passando por uma atualização do sistema.
Enquanto isso, Wardle disse que a extensão .ts pode indicar que o arquivo estava disfarçado de fluxo de transporte de vídeo contente. Ele também descobriu que o arquivo macOS foi assinado digitalmente, embora com um assinatura ad hoc.
O SysJoker é escrito em C++ e, na terça-feira, as versões Linux e macOS não haviam sido totalmente detectadas no mecanismo de busca de malware VirusTotal. O backdoor gera seu domínio de servidor de controle decodificando uma string recuperada de um arquivo de texto hospedado no Google Drive. Durante o tempo em que os pesquisadores o analisaram, o servidor mudou três vezes, indicando que o invasor estava ativo e monitorando as máquinas infectadas.
Com base nas organizações visadas e no comportamento do malware, a avaliação da Intezer é que o SysJoker está perseguindo alvos específicos, provavelmente visando “espionagem juntamente com movimento lateral que também pode levar a um ataque de ransomware como um dos próximos passos”.
