SegurançaTecnologia e muito maisVariado

Malware escrito personalizado descoberto em sistemas Windows, macOS e Linux

7

Por que é importante: em dezembro de 2021, a equipe de segurança da Intezer identificou malware escrito personalizado no servidor da Web Linux de uma instituição educacional líder. O malware, desde então chamado SysJoker, descobriu-se mais tarde que também tinha variações baseadas em Mac e Windows, aumentando sua capacidade de infectar os sistemas desejados. As variações do macOS e do Linux são atualmente indetectáveis ​​pela maioria dos produtos antivírus e scanners.

O trojan de acesso remoto (RAT) baseado em C++, escrito sob medida, que passou completamente despercebido por vários meses, pode ter sido lançado em meados do final de 2021. Nomeado SysJoker pela equipe de segurança da Intezer, o programa se esconde como uma atualização do sistema dentro do ambiente do sistema operacional do alvo. Cada variação do malware é adaptada ao sistema operacional visado, muitos dos quais provaram ser difíceis ou impossíveis de detectar. De acordo com o VirusTotal, um agregador de antivírus e mecanismo de varredura, as versões macOS e Linux do programa ainda são indetectáveis.

O comportamento do RAT é semelhante em todos os sistemas operacionais afetados. Uma vez executado, ele cria e copia a si mesmo para um diretório específico mascarado como o Serviço de Interface de Usuário Comum de Gráficos da Intel, igfxCUIService.exe. Depois que várias outras ações forem executadas, o programa começará a coletar informações da máquina, como endereço MAC, números de série e endereços IP.

A postagem no blog da Intezer fornece uma explicação totalmente detalhada do comportamento do malware, esquemas de decodificação e codificação e instruções de comando e controle (C2).

O blog fornece aos leitores etapas de detecção e resposta que podem ser seguidas para determinar se sua organização foi comprometida e quais as próximas etapas a serem seguidas. O Intezer Protect pode ser usado para verificar códigos maliciosos em sistemas baseados em Linux. A empresa fornece uma edição comunitária gratuita do produto para realizar varreduras. Os sistemas Windows são aconselhados a usar o scanner de endpoint da Intezer. Os proprietários de sistemas comprometidos são aconselhados a:

  • Mate os processos relacionados ao SysJoker e exclua o mecanismo de persistência relevante e todos os arquivos relacionados ao SysJoker
  • Execute uma verificação de memória na máquina infectada
  • Investigue o ponto de entrada inicial do malware
  • Se um servidor foi infectado com SysJoker, durante esta investigação, verifique:
  • Verifique o status de configuração e a complexidade da senha para serviços públicos em servidores infectados
  • Verifique as versões de software e explorações conhecidas que afetam os servidores infectados

A análise das organizações visadas e o comportamento projetado do RAT levam os pesquisadores a acreditar que o SysJoker é o trabalho de um agente de ameaças avançado que visa organizações específicas para fins de espionagem e ataques de ransomware.

Fonte de gravação: www.techspot.com
você pode gostar também Mais do autor

Este site usa cookies para melhorar sua experiência. Presumiremos que você está ok com isso, mas você pode cancelar, se desejar. Aceitar Consulte Mais informação