Lo scorso dicembre, la società di cybersecurity Intezer ha scoperto una nuova backdoor multipiattaforma che prende di mira Windows, Mac e Linux: la ha denominata SysJoker.
Le versioni Linux e Mac, fino al report di Intezer dell’11 gennaio, erano del tutto non rilevate in VirusTotal.
SysJoker è stato scoperto per la prima volta durante un attacco attivo su un server web basato su Linux di un importante istituto del settore education.
Dopo ulteriori indagini, Intezer ha scoperto che SysJoker ha anche versioni Mach-O e Windows PE.
Sulla base della registrazione del dominio Command and Control (C2) e dei campioni trovati in VirusTotal, gli esperti di Intezer hanno stimato che l’attacco SysJoker sia stato avviato durante la seconda metà del 2021.
SysJoker si maschera da aggiornamento di sistema e genera il suo C2 decodificando una stringa recuperata da un file di testo ospitato su Google Drive.
Durante l’attività di analisi – ha sottolineato Intezer – il C2 è cambiato tre volte, e ciò indica che il cyber-attack è attivo e sta monitorando le macchine infette.
Sulla base della vittimologia e del comportamento del malware, gli esperti di Intezer hanno valutato che SysJoker sia alla ricerca di obiettivi specifici.
SysJoker è stato caricato su VirusTotal con il suffisso .ts, utilizzato per i file TypeScript. Un possibile vettore di attacco per questo malware è attraverso un package npm infetto, ha sottolineato Intezer.
Il malware è scritto in C++ e ogni sample è fatto su misura per il sistema operativo specifico che prende di mira. Il comportamento di SysJoker è simile per tutti e tre i sistemi operativi che colpisce.
Secondo Intezer, ci sono indicazioni che l’attacco SysJoker venga eseguito da un cyber-attacker di livello avanzato.
Tra queste indicazioni, c’è il fatto che il codice sia stato scritto da zero e non sia stato visto prima in altri attacchi. Intezer mette in evidenza come sia raro trovare un malware Linux mai visto prima in un attacco live.
Inoltre, l’aggressore ha registrato almeno quattro domini diversi e ha scritto da zero il malware per tre diversi sistemi operativi. L’analisi degli esperti di Intezer suggerisce anche che l’attacco è specifico, cosa che di solito si adatta ad un cyber-attacker avanzato.
Sulla base delle capacità del malware, secondo Intezer l’obiettivo del cyber-attack è lo spionaggio, insieme al lateral movement che potrebbe anche portare a un attacco ransomware come una delle fasi successive.
Sul proprio sito, Intezer fornisce un approfondimento tecnico sul cyber-attacco, così come suggerimenti sul rilevamento e la risposta.
