Nachrichten

  • Techbord - Backdoor für Windows, macOS und Linux blieb bisher unentdeckt

    Backdoor für Windows, macOS und Linux blieb bisher unentdeckt
    Vor 3 Tagen und 6 Stunden

    Nie zuvor gesehener plattformübergreifender SysJoker stammt von einem „fortgeschrittenen Bedrohungsakteur“.
    Forscher haben eine noch nie zuvor gesehene Hintertür entdeckt, die für Systeme mit Windows, macOS oder Linux von Grund auf neu geschrieben wurde und von praktisch jeder Malware unentdeckt blieb Scan-Engines.

    Forscher der Sicherheitsfirma Intezer sagten, sie hätten SysJoker – den Namen, den sie der Hintertür gaben – auf dem Linux-basierten Webserver einer „führenden Bildungseinrichtung“ entdeckt. Als die Forscher nachforschten, fanden sie SysJoker-Versionen sowohl für Windows als auch für macOS. Sie vermuten, dass die plattformübergreifende Malware in der zweiten Hälfte des letzten Jahres freigesetzt wurde.

    Die Entdeckung ist aus mehreren Gründen bedeutsam. Erstens ist vollständig plattformübergreifende Malware eine Seltenheit, da die meiste bösartige Software für ein bestimmtes Betriebssystem geschrieben wird. Die Hintertür wurde ebenfalls von Grund auf neu geschrieben und nutzte vier separate Command-and-Control-Server, ein Hinweis darauf, dass die Personen, die sie entwickelt und verwendet haben, Teil eines fortgeschrittenen Bedrohungsakteurs waren, der erhebliche Ressourcen investierte. Es ist auch ungewöhnlich, dass bei einem realen Angriff bisher unbekannte Linux-Malware gefunden wird.

    Anzeige

    Analysen der Windows-Version (von Intezer) und der Version für Macs (von Forscher Patrick Wardle) ergaben, dass SysJoker bereitstellt erweiterte Backdoor-Funktionen. Ausführbare Dateien sowohl für die Windows- als auch für die macOS-Version hatten die Endung .ts. Intezer sagte, dass dies ein Hinweis darauf sein könnte, dass sich die als Type-Script-App getarnte Datei verbreitet hat, nachdem sie in das npm-JavaScript-Repository eingeschlichen wurde. Intezer sagte weiter, dass sich SysJoker als System-Update tarnt.

    Wardle sagte derweil, dass die Erweiterung .ts darauf hindeuten könnte, dass die Datei als Inhalt eines Videotransportstroms getarnt ist. Er fand auch heraus, dass die macOS-Datei digital signiert war, allerdings mit einer Ad-hoc-Signatur.

    SysJoker ist in C++ geschrieben, und am Dienstag wurden die Linux- und macOS-Versionen bei der VirusTotal-Malware-Suche vollständig unentdeckt Motor. Die Backdoor generiert ihre Control-Server-Domain durch Dekodierung einer Zeichenfolge, die aus einer auf Google Drive gehosteten Textdatei abgerufen wird. Während die Forscher ihn analysierten, änderte sich der Server dreimal, was darauf hindeutete, dass der Angreifer aktiv war und nach infizierten Computern suchte.

    Basierend auf den Zielorganisationen und dem Verhalten der Malware ist Intezers Einschätzung, dass SysJoker spezifisch ist Ziele, höchstwahrscheinlich mit dem Ziel „Spionage zusammen mit lateraler Bewegung, die als eine der nächsten Phasen auch zu einem Ransomware-Angriff führen könnte.“





Neueste Nachrichten aus dem Informationstechnologie