Pesquisadores descobriram um novo malware chamado de SysJoker que afeta os sistemas operacionais Windows, Linux e macOS para criar backdoors. Os cientistas investigavam um outro ataque cibernético quando foram surpreendidos pela descoberta. Eles alertam que, provavelmente, este seja o trabalho de uma operação avançada de hackers com o objetivo de espionagem. Os hackers conseguem acesso total aos sistemas comprometidos.
O malware foi detalhado por pesquisadores da Intezer, que o chamaram de SysJoker. A descoberta ocorreu enquanto eles investigavam um ataque contra um servidor web baseado em Linux. Este ataque ocorreu em dezembro e teve como alvo uma instituição educacional cujo nome não se sabe. O mais surpreendente é que o SysJoker não era o malware culpado pelo ataque investigado. No entanto, ele já estava presente nos servidores.
O SysJoker é capaz de executar comandos, baixar e fazer upload de arquivos. Assim, tudo indica que o verdadeiro objetivo deste malware que fornece backdoor seja a espionagem. Porém, ele também pode ser utilizado como uma ferramenta para enviar outros malwares para sistemas comprometidos.
Novo malware afeta Windows, Linux e macOS para criar backdoors
Com base nas capacidades do malware, avaliamos que o objetivo do ataque é a espionagem, juntamente com o movimento lateral que também pode levar a um ataque de ransomware como um dos próximos estágios, disse Avigayil Mechtinger, pesquisador de segurança cibernética da Intezer.
O SysJoker age de uma forma bem inteligente, especialmente se falamos de distribuições Linux e macOS. Simplesmente ele finge ser uma atualização normal do sistema, comprometendo o dispositivo. Na versão Windows ele se disfarça como drivers da Intel. Porém, não ficou claro como isso acontece exatamente. Isso sugere que os usuários sigam instruções de instalação.
No entanto, há algumas pistas que levam à desconfiança de tais arquivos. Alguns deles levam os nomes de “updateMacOs” e “updateSystem”, o que é considerado bem simples e suspeito. Os ataques do SysJoker teriam começado no segundo semestre de 2021 e, desde então, os invasores estão empenhados em sua disseminação.
Prova disso é que o domínio de comando e controle responsável pelos ataques mudou pelo menos 3 vezes de dezembro para cá, coincidindo com a descoberta do malware. Isso indica um monitoramento constante dos alvos escolhidos pelos cibercriminosos.
Ataques sofisticados
Os pesquisadores concluíram que os invasores não só prestam muita atenção nas vítimas. Eles também parecem escolher cuidadosamente os alvos. Portanto, os cientistas creem que o pessoal por trás do malware tenha conhecimentos muito avançados. Tanto assim que escreveram um código malicioso do zero e que nunca havia sido detectado anteriormente. Além disso, atinge qualquer sistema operacional. Portanto, esta gente sabe exatamente o que está fazendo.
O malware SysJoker pode permanecer oculto em redes comprometidas por longos períodos. Portanto, é provável que a campanha ainda esteja ativa. No entanto, basta seguir alguns conselhos dos pesquisadores para evitar ser mais uma vítima. Isso inclui o uso de scanners de memória para detectar cargas maliciosas que foram potencialmente instaladas. Os administradores devem dar atenção a atividades suspeitas e investigá-las.
Via ZDNet