¡Alerta máxima! Encuentran una puerta trasera en Windows, Mac y Linux ADSLZone

Tabla de contenido

Un malware suele ser la preocupación constante de prácticamente la totalidad de los usuarios que utilizan algún dispositivo electrónico. Son capaces de robar nuestros datos personales, las cuentas de acceso a nuestras suscripciones, secuestran información de muchas empresas y un largo etc. No todos actúan de la misma manera, aunque solemos referirnos a ellos como virus para describir cualquier amenaza que ponga en peligro, tanto nuestra información personal, como el buen funcionamiento de nuestros dispositivos. La realidad es que hay infinidad de tipos de malware con fines diferentes.

Descubrimiento de SysJoker

Los investigadores de la compañía de seguridad Intezer aseguran haber descubierto un malware de puerta trasera al que han llamado SysJoker en el servidor web basado en Linux de “una institución educativa líder”. A medida que los investigadores fueron profundizando en el hallazgo, detectaron que también había versiones de SysJoker tanto en Windows como en macOS. Se sospecha que el RAT (Remote Administration Tool) multiplataforma pudo desarrollarse en la segunda mitad del año pasado.

Este descubrimiento es relevante por varias razones, en primer lugar, un malware multiplataforma no es algo de los más común, ya que la mayoría de un software malicioso suele escribirse para un sistema operativo en concreto. En este caso el RAT se escribió desde cero y utilizó cuatro servidores de comando y control separados. Este aspecto denota que las personas que lo desarrollaron invirtieron recursos significativos. Por otra parte, también es raro que se encuentre un malware de Linux nunca antes visto.

[embedded content]

Análisis de la versión de Windows y macOS

Los análisis de la versión para Windows realizados por Interzer y la versión para Mac (realizada por el investigador Patrick Wardle) encontraron que el malware proporciona capacidades avanzadas de puerta trasera. Los archivos ejecutables en ambos sistemas operativos tenían en sufijo .ts.

Intezer dijo que “eso puede ser una indicación de que el archivo se hizo pasar por una aplicación de script de tipo que se propagó después de colarse en el repositorio de JavaScript de npm. Intezer continuó diciendo que SysJoker se hace pasar por una actualización del sistema”.

Todavía no se ha podido determinar cómo de instaló el malware. Existe la teoría de que haya podido instalarse a través de un paquete npm malicioso o usando una extensión falsa para camuflar al instalador malicioso. Esto sugeriría que las infecciones no fueran resultado de explotar una vulnerabilidad, si no de engañar al usuario para que realizara la instalación.

Mientras tanto, Patrick Wardle dijo que “la extensión .ts puede indicar que el archivo se disfraza como contenido de flujo de transporte de video”. También descubrió que el archivo macOS estaba firmado digitalmente, aunque con una firma ad-hoc.

SysJoker está escrito en C++ y, hasta el momento, las versiones de Linux y macOS no habían sido detectadas por completo en el motor de búsqueda de malware VirusTotal. “La puerta trasera genera su dominio de servidor de control al decodificar una cadena recuperada de un archivo de texto alojado en Google Drive. Durante el tiempo que los investigadores lo analizaron, el servidor cambió tres veces, lo que indica que el atacante estaba activo y monitoreando las máquinas infectadas”.

Según el análisis y evaluación por parte de Interzer, SysJoker podría estar detrás de objetivos muy específicos con el objetivo de “espionaje junto con movimiento lateral que también podría conducir a un ataque de ransomware como una de las próximas etapas”.

Fuente obtenida de: https://www.adslzone.net/noticias/seguridad/alerta-maxima-malware-puerta-trasera-windows-mac-linux/

INFORMACION DEL PUBLICADOR
Picture of Kamal Majaiti
Kamal Majaiti
Administrador de sistemas e informático por vocación.
COMPARTELO EN REDES
Publica un comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.