Todavía no se ha detectado la puerta trasera para Windows, macOS y Linux

Los investigadores han descubierto una puerta trasera sin precedentes escrita desde cero para sistemas que ejecutan Windows, macOS o Linux que no ha sido detectada por casi todos los motores de análisis de malware.

Investigadores de la empresa de seguridad Intezer Él dijo Descubrieron SysJoker, el nombre que le dieron a la puerta trasera, en el servidor web basado en Linux de una “institución educativa líder”. Mientras buscaban a los investigadores, también encontraron versiones de SysJoker para Windows y macOS. Sospechan que el malware se lanzó en todas las plataformas en la segunda mitad del año pasado.

Este hallazgo es importante por varias razones. Primero, el malware multiplataforma es una rareza, ya que la mayoría del malware está escrito para un sistema operativo específico. Backdoor también se escribió desde cero y usó cuatro servidores de comando y control separados, lo que indica que las personas que lo desarrollaron y usaron eran parte de un actor de amenazas avanzado que invirtió recursos significativos. También es inusual encontrar malware de Linux que nunca antes se haya visto en un ataque del mundo real.

Los análisis de la versión de Windows (por Intezer) y la versión de Mac (por el investigador Patrick Wardle) encontraron que SysJoker ofrece capacidades avanzadas de puerta trasera. Los archivos ejecutables para las versiones de Windows y macOS tienen el sufijo .ts. Esto podría ser una indicación de que el archivo se está enmascarando como un archivo, dijo Entizer. escribir el guion La aplicación se volvió viral después de piratear el repositorio de javascript de npm. Entizer continuó diciendo que SysJoker se hace pasar por una actualización del sistema.

Mientras tanto, Wardle dijo que la extensión .ts podría indicar que el archivo se está enmascarando como flujo de transmisión de video Contenido. También descubrió que el archivo macOS estaba firmado digitalmente, aunque con la extensión . firma especial.

SysJoker fue escrito en C++ y, hasta el martes, todas las versiones de Linux y macOS no habían sido detectadas en el motor de búsqueda de malware de VirusTotal. Backdoor crea su propio dominio de servidor de control al decodificar una cadena recuperada de un archivo de texto alojado en Google Drive. Durante el tiempo que los investigadores estuvieron analizándolo, el servidor se cambió tres veces, lo que indica que el atacante estaba activo y monitoreando las máquinas infectadas.

Según las organizaciones objetivo y el comportamiento del malware, la evaluación de Intezer es que SysJoker persigue objetivos específicos, muy probablemente con el objetivo de “espionaje junto con movimiento lateral que también podría conducir a un ataque de ransomware como una de las próximas etapas”.

READ  El fundador de Pebble lanzó Beeper, una aplicación de chat universal que funciona con iMessage y otros - TechCrunch

You May Also Like

About the Author: Pino Toribio

"Fanático de Internet en general. Gurú de Twitter sin complejos. Introvertido. Lector total. Ninja de la cultura pop. Entusiasta de las redes sociales".

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *