La RAT de puerta trasera para Windows, macOS y Linux no fue detectada hasta ahora

El SysJoker nunca visto y multiplataforma proviene de un “actor de amenazas avanzadas”.

Los investigadores han descubierto un malware de puerta trasera nunca antes visto y escrito desde cero para los sistemas que ejecutan Windows, macOS o Linux que permaneció sin ser detectado por prácticamente todos los motores de escaneo de malware.

Los investigadores de la firma de seguridad Intezer dijeron que descubrieron SysJoker -el nombre que le dieron al malware de puerta trasera- en el servidor web basado en Linux de una “importante institución educativa”. Cuando los investigadores indagaron, encontraron versiones de SysJoker tanto para Windows como para macOS. Sospechan que el RAT multiplataforma (abreviatura de troyano de acceso remoto) se desató en la segunda mitad del año pasado.

El descubrimiento es significativo por varias razones. En primer lugar, el malware totalmente multiplataforma es una rareza, ya que la mayoría del software malicioso está escrito para un sistema operativo específico. Además, la RAT se escribió desde cero y utilizó cuatro servidores de mando y control distintos, lo que indica que las personas que la desarrollaron y utilizaron formaban parte de un agente de amenazas avanzado que invirtió importantes recursos. También es inusual que un malware para Linux no visto anteriormente se encuentre en un ataque del mundo real.

Los análisis de la versión para Windows (realizados por Intezer) y de la versión para Mac (realizados por el investigador Patrick Wardle) descubrieron que SysJoker proporciona capacidades avanzadas de puerta trasera. Los archivos ejecutables de las versiones para Windows y macOS tenían el sufijo.ts. Intezer mencionó que eso puede ser una indicación de que el archivo se hizo pasar por un script de tipo de aplicación que se extendió después de ser colado en el repositorio npm JavaScript. Intezer continuó diciendo que SysJoker se hace pasar por una actualización del sistema.

Finalmente, Intezer no pudo determinar de forma definitiva cómo se instaló el malware. La teoría de que se instaló a través de un paquete npm malicioso o, alternativamente, mediante el uso de una extensión falsa para disfrazar el instalador malicioso, sugeriría que las infecciones no fueron el resultado de explotar una vulnerabilidad, sino más bien de engañar a alguien para que instalara.

Wardle, por su parte, afirmó que la extensión.ts puede indicar que el archivo se hizo pasar por contenido de flujo de transporte de vídeo. También descubrió que el archivo de macOS estaba firmado digitalmente, aunque con una firma ad-hoc.

SysJoker está escrito en C++ y, hasta el martes, las versiones para Linux y macOS no habían sido detectadas en el buscador de malware VirusTotal. El backdoor genera su dominio de servidor de control decodificando una cadena recuperada de un archivo de texto alojado en Google Drive. Durante el tiempo que los investigadores estuvieron analizando, el servidor cambió tres veces, lo que indica que el atacante estaba activo y vigilando las máquinas infectadas.

Basándose en las organizaciones a las que se dirige y en el comportamiento del malware, la evaluación de Intezer es que SysJoker persigue objetivos específicos, muy probablemente con el objetivo de “espionaje junto con el movimiento lateral que también podría llevar a un ataque de ransomware como una de las siguientes etapas”.

Post actualizado el 16/1/2022 para dejar claro que backdoor se refiere a malware y decir explícitamente que se desconoce cómo se instala.

[content-egg module=Youtube template=custom/simple]

Michael Rojas

Michael Rojas

Me convertí en un entusiasta de la tecnología a finales de 2012, y desde entonces, he estado trabajando para publicaciones de renombre en toda América y España como freelance para cubrir productos de empresas como Apple, Samsung, LG entre otras. ¡Gracias por leerme! Si deseas saber más sobre mis servicios, envíame tu consulta a michaelrojas@elenbyte.com.

Elenbyte
Logo
Comparar artículos
  • Total (0)
Comparar
0