Výzkumníci objevili bezprecedentní zadní vrátka napsaná od nuly pro systémy se systémem Windows, macOS nebo Linux, která zůstala neodhalena téměř všemi enginy pro skenování malwaru.
Výzkumníci z bezpečnostní společnosti Intezer Řekl Objevili SysJoker – název, který dali zadním vrátkům – na linuxovém webovém serveru „přední vzdělávací instituce“. Při hledání výzkumníků našli verze SysJoker pro Windows i MacOS. Mají podezření, že malware byl spuštěn napříč platformami v druhé polovině loňského roku.
Toto zjištění je důležité z několika důvodů. Za prvé, multiplatformní malware je vzácností, protože většina malwaru je napsána pro konkrétní operační systém. Backdoor byl také napsán od nuly a používal čtyři samostatné příkazové a řídicí servery, což naznačuje, že lidé, kteří jej vyvinuli a používali, byli součástí pokročilého aktéra hrozeb, který investoval značné prostředky. Je také neobvyklé najít linuxový malware, který nikdy předtím nebyl viděn v reálném světě.
Analýzy verze pro Windows (od společnosti Intezer) a verze pro Mac (od výzkumníka Patricka Wardlea) zjistily, že SysJoker nabízí pokročilé možnosti zadních vrátek. Spustitelné soubory pro verze Windows i macOS mají příponu .ts. Entizer řekl, že by to mohlo naznačovat, že soubor je maskován jako soubor Napište scénář Aplikace se rozšířila po nabourání do npm javascriptového úložiště. Entizer dále řekl, že SysJoker se vydává za aktualizaci systému.
Mezitím Wardle řekl, že přípona .ts může naznačovat, že soubor je maskován jako stream přenosu videa Obsah. Také zjistil, že soubor macOS byl digitálně podepsán, i když s příponou speciální podpis.
SysJoker byl napsán v C++ a od úterý nebyly ve vyhledávači malwaru VirusTotal detekovány všechny verze Linuxu a macOS. Backdoor vytváří svou vlastní doménu řídicího serveru dekódováním řetězce načteného z textového souboru hostovaného na Disku Google. Během doby, kdy jej výzkumníci analyzovali, byl server třikrát změněn, což naznačuje, že útočník byl aktivní a monitoroval infikované počítače.
Na základě cílových organizací a chování malwaru Intezer hodnotí, že SysJoker sleduje konkrétní cíle, s největší pravděpodobností s cílem „špehovat bočním pohybem, který by také mohl vést k útoku ransomwaru jako jedné z dalších fází“.
„Unapologetický analytik. Rozzuřeně skromný kávový evangelista. Hráč. Nelze psát s boxerskými rukavicemi. Student. Podnikatel.“
You may also like
-
„Věřím v chůzi“ ke zvýšení produktivity
-
Sony říká, že umění Stellar Blade naznačující rasistický jazyk byl neúmyslný a bude opraven
-
Nintendo rozšiřuje svou knihovnu N64 pro Switch Online o dva další tituly
-
Spam přišel zevnitř domu: Jak může chytrá televize omezit počítač se systémem Windows
-
Teenage Mutant Ninja Turtles Arcade: Wrath of Mutants recenze