Investigadores de ciberseguridad han descubierto una nueva forma de malware que puede crear puertas traseras en los sistemas operativos Windows, Linux y macOS, proporcionando a los ciberdelincuentes acceso total a los sistemas comprometidos.
El malware ha sido detallado por los investigadores de Intezer, que lo han denominado SysJoker. Fue descubierto mientras investigaban un ataque contra un servidor web basado en Linux en una institución educativa no revelada en diciembre. SysJoker no era el malware que estaba detrás del ataque investigado, pero ya estaba presente en los servidores.
La naturaleza de SysJoker y la forma en que está diseñado para proporcionar una puerta trasera en los sistemas -con la capacidad de ejecutar comandos, descargar y cargar archivos- sugiere que el objetivo de los que lo entregan podría ser el espionaje, pero también podría ser utilizado como una herramienta para entregar malware adicional a los sistemas comprometidos.
SysJoker compromete los dispositivos de las víctimas haciéndose pasar por una actualización del sistema para Linux y MacOS, mientras que en la versión para Windows se hace pasar por los controladores de Intel. No está claro cómo se entregan las falsas actualizaciones de controladores a las víctimas, pero la naturaleza de las actualizaciones significa que los usuarios probablemente seguirán las instrucciones para instalarlas.
Los investigadores observan que los nombres de las actualizaciones, como “updateMacOs” y “updateSystem”, son relativamente genéricos, algo que podría levantar sospechas.
Según el análisis de SysJoker, el malware comenzó a desplegarse activamente en ataques en la segunda mitad de 2021 y los atacantes que están detrás de él están prestando mucha atención a las campañas.
Incluso durante el período de análisis después de que el malware se descubriera inicialmente en diciembre, el dominio de mando y control detrás de los ataques ha cambiado tres veces, lo que indica que los que están detrás de la campaña están supervisando activamente los objetivos.
La forma en que los atacantes prestan atención a las víctimas comprometidas, la forma en que parecen elegir cuidadosamente sus objetivos y la forma en que el malware puede dirigirse a múltiples sistemas operativos sugiere que los que están detrás de SysJoker son lo que los investigadores describen como un “actor de amenazas avanzadas”.
Además, el hecho de que los atacantes hayan escrito un código desde cero que no se había visto en ataques anteriores y que pueda dirigirse a tres sistemas operativos diferentes también sugiere que, sean quienes sean los ciberdelincuentes que están detrás de SysJoker, saben lo que están haciendo.
Aunque la campaña no está muy extendida, la naturaleza del malware SysJoker -y la forma en que los atacantes parecen ir tras objetivos específicos y pueden permanecer ocultos en redes comprometidas durante periodos de tiempo significativos- sólo se descubrió cuando se investigaba otro ataque.
Con infprmación de ZDNet.