Výzkumníci objevili bezprecedentní zadní vrátka napsaná od nuly pro systémy se systémem Windows, macOS nebo Linux, která zůstala neodhalena téměř všemi enginy pro skenování malwaru.
Výzkumníci z bezpečnostní společnosti Intezer Řekl Objevili SysJoker – název, který dali zadním vrátkům – na linuxovém webovém serveru „přední vzdělávací instituce“. Při hledání výzkumníků našli verze SysJoker pro Windows i MacOS. Mají podezření, že malware byl spuštěn napříč platformami v druhé polovině loňského roku.
Toto zjištění je důležité z několika důvodů. Za prvé, multiplatformní malware je vzácností, protože většina malwaru je napsána pro konkrétní operační systém. Backdoor byl také napsán od nuly a používal čtyři samostatné příkazové a řídicí servery, což naznačuje, že lidé, kteří jej vyvinuli a používali, byli součástí pokročilého aktéra hrozeb, který investoval značné prostředky. Je také neobvyklé najít linuxový malware, který nikdy předtím nebyl viděn v reálném světě.
Analýzy verze pro Windows (od společnosti Intezer) a verze pro Mac (od výzkumníka Patricka Wardlea) zjistily, že SysJoker nabízí pokročilé možnosti zadních vrátek. Spustitelné soubory pro verze Windows i macOS mají příponu .ts. To by mohlo naznačovat, že soubor je maskován jako soubor, řekl Entizer Napište scénář Aplikace se stala virální poté, co se nabourala do úložiště javascriptu npm. Entizer dále řekl, že SysJoker se vydává za aktualizaci systému.
Mezitím Wardle řekl, že přípona .ts může naznačovat, že soubor je maskován jako stream přenosu videa Obsah. Také zjistil, že soubor macOS byl digitálně podepsán, i když s příponou speciální podpis.
SysJoker byl napsán v C++ a od úterý nebyly ve vyhledávači malwaru VirusTotal detekovány všechny verze Linuxu a macOS. Backdoor vytváří svou vlastní doménu řídicího serveru dekódováním řetězce načteného z textového souboru hostovaného na Disku Google. Během doby, kdy jej výzkumníci analyzovali, byl server třikrát změněn, což naznačuje, že útočník byl aktivní a monitoroval infikované počítače.
Na základě cílových organizací a chování malwaru Intezer hodnotí, že SysJoker sleduje konkrétní cíle, s největší pravděpodobností s cílem „špionáže spolu s bočním pohybem, který by také mohl vést k ransomwarovému útoku jako jedné z dalších fází“.
„Přátelský průkopník popkultury. Hodně padá. Sociální média geek. Obecný fanatik do kávy. Televizní nadšenec. Potížista.“
