Los investigadores han descubierto una puerta trasera nunca antes vista, creada desde cero para sistemas que ejecutan Windows, macOS o Linux, que casi todos los motores de análisis de malware no pueden detectar.
Investigadores de la firma de seguridad Intezer Decir Encontraron SysJoker, su nombre para la puerta trasera, en un servidor web basado en Linux en una “institución educativa líder”. A medida que los investigadores profundizaron, también descubrieron versiones de SysJoker para Windows y macOS. Sospechan que el malware multiplataforma se lanzó en la segunda mitad del año pasado.
Este hallazgo es significativo por varias razones. En primer lugar, el malware completamente multiplataforma es raro y la mayoría del malware está escrito para un sistema operativo específico. La puerta trasera también se escribió desde cero y usó cuatro servidores de comando y control separados, lo que sugiere que quienes la desarrollaron y usaron eran parte de un actor de amenazas avanzado que invirtió recursos significativos. También es inusual encontrar malware de Linux nunca antes visto en ataques del mundo real.
El análisis de la versión de Windows (por Intezer) y la versión de Mac (por el investigador Patrick Wardle) encontró que SysJoker proporciona una funcionalidad avanzada de puerta trasera. Las versiones de Windows y macOS de los ejecutables tienen el sufijo .ts. Intezer dijo que esto podría indicar que el archivo estaba disfrazado de guión de entrada La aplicación se propaga después de colarse en el repositorio de JavaScript de npm. Intezer continuó diciendo que SysJoker se hizo pasar por una actualización del sistema.
Mientras tanto, Wardle dijo que la extensión .ts puede indicar que el archivo se hace pasar por flujo de transporte de video contenido.También descubrió que los archivos de macOS estaban firmados digitalmente, a pesar de la firma provisional.
SysJoker está escrito en C++ y, hasta el martes, las versiones de Linux y macOS no habían sido detectadas por el motor de búsqueda de malware VirusTotal. La puerta trasera genera su dominio de servidor de control mediante la decodificación de cadenas recuperadas de archivos de texto alojados en Google Drive. Durante el tiempo que los investigadores lo analizaron, el servidor cambió 3 veces, lo que indica que los atacantes estaban activos y monitoreando la máquina infectada.
Según la organización objetivo y el comportamiento del malware, la evaluación de Intezer es que SysJoker está dirigido, muy probablemente dirigido al “espionaje y el movimiento lateral, que también podría conducir a ataques de ransomware como una de las próximas etapas”.
