Backdoor pro Windows, macOS a Linux zatím nebyl detekován

Výzkumníci objevili bezprecedentní zadní vrátka napsaná od nuly pro systémy se systémem Windows, macOS nebo Linux, která zůstala neodhalena téměř všemi enginy pro skenování malwaru.

Výzkumníci z bezpečnostní společnosti Intezer Řekl Objevili SysJoker – název, který dali zadním vrátkům – na linuxovém webovém serveru „přední vzdělávací instituce“. Při hledání výzkumníků našli verze SysJoker pro Windows i MacOS. Mají podezření, že malware byl spuštěn napříč platformami v druhé polovině loňského roku.

Toto zjištění je důležité z několika důvodů. Za prvé, multiplatformní malware je vzácností, protože většina malwaru je napsána pro konkrétní operační systém. Backdoor byl také napsán od nuly a používal čtyři samostatné příkazové a řídicí servery, což naznačuje, že lidé, kteří jej vyvinuli a používali, byli součástí pokročilého aktéra hrozeb, který investoval značné prostředky. Je také neobvyklé najít linuxový malware, který nikdy předtím nebyl viděn v reálném světě.

Analýzy verze pro Windows (od společnosti Intezer) a verze pro Mac (od výzkumníka Patricka Wardlea) zjistily, že SysJoker nabízí pokročilé možnosti zadních vrátek. Spustitelné soubory pro verze Windows i macOS mají příponu .ts. Entizer řekl, že by to mohlo naznačovat, že soubor je maskován jako soubor Napište scénář Aplikace se rozšířila po nabourání do npm javascriptového úložiště. Entizer dále řekl, že SysJoker se vydává za aktualizaci systému.

Mezitím Wardle řekl, že přípona .ts může naznačovat, že soubor je maskován jako stream přenosu videa Obsah. Také zjistil, že soubor macOS byl digitálně podepsán, i když s příponou speciální podpis.

SysJoker byl napsán v C++ a od úterý nebyly ve vyhledávači malwaru VirusTotal detekovány všechny verze Linuxu a macOS. Backdoor vytváří svou vlastní doménu řídicího serveru dekódováním řetězce načteného z textového souboru hostovaného na Disku Google. Během doby, kdy jej výzkumníci analyzovali, byl server třikrát změněn, což naznačuje, že útočník byl aktivní a monitoroval infikované počítače.

Na základě cílových organizací a chování malwaru Intezer hodnotí, že SysJoker sleduje konkrétní cíle, s největší pravděpodobností s cílem „špehovat bočním pohybem, který by také mohl vést k útoku ransomwaru jako jedné z dalších fází“.

READ  Osobní 25 krát sv. 1 - Japonské streamování animací, koncert orchestru, malý koncert online TGS 2021

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *