0
0
Um novo backdoor multiplataforma apelidado de SysJoker tem evitado com sucesso soluções de segurança desde meados de 2021.
“Nas versões Linux e macOS, ele se disfarça como uma atualização do sistema. Na versão do Windows, ele se disfarça de drivers Intel. Os nomes de atualização são um pouco genéricos: Na versão do macOS, o arquivo é realocado e chamado de ‘updateMacOs’ e na versão Linux é chamado de ‘updateSystem'”, Avigayil Mechtinger, pesquisador de segurança da Intezer,compartilhou com o Help Net Security.
SysJoker: Um backdoor multiplataforma
Pesquisadores da Intezer viram a porta dos fundos durante um ataque ativo a um servidor web Apache de uma instituição educacional líder. Tinha sido carregado através de um shell reverso.
O comportamento de SysJoker é semelhante para todos os três sistemas operacionais: uma vez executado, ele “dorme” por 90 a 120 segundos antes de começar a:
- Crie diretórios e copie-se
- Coletar informações sobre a máquina (endereço MAC, nome de usuário, número de série de mídia física, endereço IP)
- Adicione entradas a uma chave de registro para alcançar persistência
- Entre em contato com um servidor de comando e controle
As várias instruções que ele pode receber do servidor C2 permitem que ele desague e execute outro executável, bem como execute comandos específicos.
A única diferença entre a versão do Windows e as para Linux e macOS é que o primeiro contém um conta-gotas de primeiro estágio.
Uma ameaça furtiva
Quando os pesquisadores publicaram suas descobertas na terça-feira (12/10), as versões Linux e macOS da SysJoker ainda não foram detectadas pelas várias soluções de segurança no VirusTotal. Enquanto isso, uma dúzia de pessoas se tornaram capazes de localizá-los.
“Com base no registro de domínio C2 e amostras encontradas no VirusTotal, estimamos que o ataque de SysJoker tenha sido iniciado durante o segundo semestre de 2021. Durante nossa análise, o C2 mudou três vezes, indicando que o atacante está ativo e monitorando máquinas infectadas”, compartilharam os pesquisadores.
Eles não observaram muitas amostras do malware na natureza, então eles acreditam que os ataques alavancados são limitados no escopo.
Entre outras possíveis razões dadas pela Mechtinger para o voo prolongado do malware sob o radar estão a imaturidade das ferramentas de segurança para sistemas Linux e macOS e a ofuscação dos domínios do servidor C2.
“O domínio é capturado dinamicamente a partir de um link do Google Drive, portanto, o endereço é fácil de atualizar, e qualquer tráfego para a unidade do Google normalmente não será visto como suspeito em uma rede”, explicou.
Não se sabe se houve outros alvos/vítimas. A julgar pelas informações disponíveis, o atacante parece se concentrar em instituições acadêmicas.
“Um dos domínios do servidor C2 digita o software ‘Bookitlab’, que é comumente usado por universidades e instituições científicas para gerenciamento de instalações e software de agendamento de equipamentos de laboratório”, compartilhou Mechtinger.
Os pesquisadores acreditam que o ataque do SysJoker é realizado por um ator de ameaças avançado porque o código do malware (para todos os sistemas operacionais) é original, porque é raro encontrar malware Linux inédito em um ataque ao vivo, e porque eles não testemunharam um segundo estágio ou comando enviado do invasor (o que significa que o ataque é específico).
Remediação
É impossível dizer se o malware está preparando o cenário para espionagem cibernética ou entrega de ransomware. Ainda assim, nenhum desses objetivos são boas notícias para alvos potenciais, e podem levar a resultados muito negativos.
Os pesquisadores divulgaram indicadores de compromisso (IoCs) e conteúdo de detecção para ajudar os defensores a caçar máquinas infectadas em suas redes, e ofereceram conselhos sobre remediação.
FONTE: HELPNET SECURITY