Onderzoekers hebben een ongekende achterdeur ontdekt die helemaal opnieuw is geschreven voor systemen met Windows, macOS of Linux en die onopgemerkt is gebleven door bijna alle malware-scanengines.
Onderzoekers van het beveiligingsbedrijf Intezer Hij zei Ze ontdekten SysJoker – de naam die ze aan de achterdeur gaven – op de op Linux gebaseerde webserver van een “toonaangevende onderwijsinstelling”. Bij het doorzoeken van de onderzoekers vonden ze ook SysJoker-versies voor zowel Windows als macOS. Ze vermoeden dat de malware in de tweede helft van vorig jaar op verschillende platforms is gelanceerd.
Deze bevinding is om verschillende redenen belangrijk. Ten eerste is platformonafhankelijke malware een zeldzaamheid, aangezien de meeste malware voor een specifiek besturingssysteem is geschreven. Backdoor is ook helemaal opnieuw geschreven en maakte gebruik van vier afzonderlijke commando- en controleservers, wat aangeeft dat de mensen die het ontwikkelden en gebruikten deel uitmaakten van een geavanceerde dreigingsactor die aanzienlijke middelen investeerde. Het is ook ongebruikelijk om Linux-malware te vinden die nog nooit eerder is gezien bij een echte aanval.
Analyses van de Windows-versie (door Intezer) en de Mac-versie (door onderzoeker Patrick Wardle) hebben uitgewezen dat SysJoker geavanceerde backdoor-mogelijkheden biedt. Uitvoerbare bestanden voor zowel Windows- als macOS-versies hebben het achtervoegsel .ts. Dit kan een indicatie zijn dat het bestand wordt vermomd als een bestand, zei Entizer: Schrijf het script De app ging viraal na het hacken van de npm javascript-repository. Entizer zei verder dat SysJoker zich voordoet als een systeemupdate.
Ondertussen zei Wardle dat de .ts-extensie zou kunnen aangeven dat het bestand wordt vermomd als: video transmissie stream Inhoud. Het ontdekte ook dat het macOS-bestand digitaal ondertekend was, zij het met de extensie . speciale handtekening.
SysJoker is geschreven in C++ en vanaf dinsdag waren alle Linux- en macOS-versies nog niet gedetecteerd in de malware-zoekmachine van VirusTotal. Backdoor maakt zijn eigen beheerserverdomein door een tekenreeks te decoderen die is opgehaald uit een tekstbestand dat wordt gehost op Google Drive. Gedurende de tijd dat de onderzoekers het analyseerden, werd de server drie keer gewijzigd, wat aangeeft dat de aanvaller actief was en geïnfecteerde machines in de gaten hield.
Op basis van de doelorganisaties en het malwaregedrag is de beoordeling van Intezer dat SysJoker specifieke doelen nastreeft, hoogstwaarschijnlijk met als doel “spionage samen met zijwaartse bewegingen die ook kunnen leiden tot een ransomware-aanval als een van de volgende fasen”.