Los investigadores han descubierto una puerta trasera nunca antes vista escrita desde cero para sistemas que ejecutan Windows, macOS o Linux que no fue detectada por prácticamente todos los motores de análisis de malware.
Investigadores de la firma de seguridad Intezer dicho descubrieron SysJoker, el nombre que le dieron a la puerta trasera, en el servidor web basado en Linux de una “institución educativa líder”. A medida que los investigadores profundizaron, también encontraron versiones de SysJoker para Windows y macOS. Sospechan que el malware multiplataforma se desató en la segunda mitad del año pasado.
El descubrimiento es significativo por varias razones. En primer lugar, el malware multiplataforma es una rareza, ya que la mayoría del software malicioso se escribe para un sistema operativo específico. La puerta trasera también se escribió desde cero y utilizó cuatro servidores de comando y control separados, una indicación de que las personas que la desarrollaron y usaron formaban parte de un actor de amenazas avanzado que invirtió recursos significativos. También es inusual que se encuentre malware de Linux nunca antes visto en un ataque del mundo real.
Los análisis de la versión de Windows (por Intezer) y la versión para Mac (por el investigador Patrick Wardle) encontraron que SysJoker proporciona capacidades avanzadas de puerta trasera. Los archivos ejecutables para las versiones de Windows y macOS tenían el sufijo .ts. Intezer dijo que eso puede ser una indicación de que el archivo se hizo pasar por escribir secuencia de comandos
Mientras tanto, Wardle dijo que la extensión .ts puede indicar que el archivo se hizo pasar por flujo de transporte de video contenido. También descubrió que el archivo macOS estaba firmado digitalmente, aunque con un firma ad-hoc.
SysJoker está escrito en C++ y, hasta el martes, las versiones de Linux y macOS no habían sido detectadas por completo en el motor de búsqueda de malware VirusTotal. La puerta trasera genera su dominio de servidor de control al decodificar una cadena recuperada de un archivo de texto alojado en Google Drive. Durante el tiempo que los investigadores lo analizaron, el servidor cambió tres veces, lo que indica que el atacante estaba activo y monitoreando las máquinas infectadas.
Según las organizaciones a las que se dirige y el comportamiento del malware, la evaluación de Intezer es que SysJoker persigue objetivos específicos, muy probablemente con el objetivo de “espionaje junto con movimiento lateral que también podría conducir a un ataque de ransomware como una de las próximas etapas”.