SysJoker: Backdoor malicioso afeta o macOS, Linux e o Windows

Atualizado: 16 de fev.

Pesquisadores descobriram o SysJoker ao investigar outro ataque cibernético - e alertam que é provável que seja o trabalho de uma operação avançada de hackers com o objetivo de espionagem.



SAIBA MAIS: Ataques cibernéticos aumentaram 50% em 2021


Pesquisadores descobriram o malware chamado de SysJoker que afeta os sistemas operacionais Windows, Linux e macOS para criar backdoors. Os cientistas investigavam um outro ataque cibernético quando foram surpreendidos pela descoberta. Eles alertam que, provavelmente, este seja o trabalho de uma operação avançada de hackers com o objetivo de espionagem. Os hackers conseguem acesso total aos sistemas comprometidos.


O malware foi detalhado por pesquisadores da Intezer, que o chamaram de SysJoker. A descoberta ocorreu enquanto eles investigavam um ataque contra um servidor web baseado em Linux. Este ataque ocorreu em dezembro e teve como alvo uma instituição educacional cujo nome não se sabe. O mais surpreendente é que o SysJoker não era o malware culpado pelo ataque investigado. No entanto, ele já estava presente nos servidores.


O pesquisador de segurança cibernética da Intezer, Avigayil Mechtinger declarou:

"Com base nas capacidades do malware, avaliamos que o objetivo do ataque é a espionagem, juntamente com o movimento lateral que também pode levar a um ataque de ransomware como um dos próximos estágios"

SAIBA MAIS: Ransomware REvil é derrubado por Autoridades Russas


O SysJoker é capaz de executar comandos, baixar e fazer upload de arquivos. Assim, tudo indica que o verdadeiro objetivo deste malware que fornece backdoor seja a espionagem. Porém, ele também pode ser utilizado como uma ferramenta para enviar outros malwares para sistemas comprometidos.


A sua particularidade única é mesmo estar desenhado para não se limitar a um único sistema. O SysJoker sabe-se que tem versões para ser usado no macOS, Linux e Windows, adaptando-se de forma demasiado natural ao sistema onde consegue entrar.


Diagrama de comunicação do SysJoker
Diagrama de comunicação do SysJoker C2 Fonte: Intezer

O SysJoker age de uma forma bem inteligente, especialmente se falamos de distribuições Linux e macOS. Simplesmente ele finge ser uma atualização normal do sistema, comprometendo o dispositivo. Na versão Windows ele se disfarça como drivers da Intel. Porém, não ficou claro como isso acontece exatamente. Isso sugere que os usuários sigam instruções de instalação.


No entanto, há algumas pistas que levam à desconfiança de tais arquivos. Alguns deles levam os nomes de “updateMacOs” e “updateSystem”, o que é considerado bem simples e suspeito. Os ataques do SysJoker teriam começado no segundo semestre de 2021 e, desde então, os invasores estão empenhados em sua disseminação.


Prova disso é que o domínio de comando e controle responsável pelos ataques mudou pelo menos 3 vezes de dezembro para cá, coincidindo com a descoberta do malware. Isso indica um monitoramento constante dos alvos escolhidos pelos cibercriminosos.

Ataques específicos

Os pesquisadores concluíram que os invasores não só prestam muita atenção nas vítimas. Eles também parecem escolher cuidadosamente os alvos. Portanto, os cientistas creem que o pessoal por trás do malware tenha conhecimentos muito avançados. Tanto assim que escreveram um código malicioso do zero e que nunca havia sido detectado anteriormente. Além disso, atinge qualquer sistema operacional. Portanto, esta gente sabe exatamente o que está fazendo.


Como se proteger


Enquanto muitos softwares de segurança ainda não são capazes de detectar a contaminação, o upload das amostras do SysJoker ao repositório VirusTotal é o primeiro passo para isso. Além disso, a Intezer divulgou indicadores de comprometimento para cada sistema operacional, que foram publicados pelo site Bleeping Computer, bem como alguns dos domínios usados pelos servidores de comando e controle, de forma que usuários e administradores possam vasculhas seus sistemas em busca de infecção.


Outras medidas envolvem atenção a processos desconhecidos ou irregulares no sistema e o uso de soluções de segurança adequadas, incluindo firewalls e softwares conectados, que devem estar sempre atualizados para suas últimas versões. Por fim, medidas comuns de higiene também ajudam, como evitar clicar em links ou baixar soluções que venham por e-mail ou mensagem direta.


Fonte: ZDNet, bleeping computer

 

Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado.

Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.

109 visualizações

Newsletter

Confira notícias, informações e tendências do setor de tecnologia da informação. 

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos