Home Sociedad Un nuevo backdoor “no detectado”, funciona en tres plataformas de sistemas operativos

Un nuevo backdoor “no detectado”, funciona en tres plataformas de sistemas operativos

Expertos en seguridad advierten de la existencia de un nuevo malware de puerta trasera diseñado para funcionar en Windows, Mac y Linux, algunas de cuyas versiones no han sido detectadas por Virus Total.

Apodado “SysJoker” por los investigadores de Intezer, el malware fue descubierto durante un ataque a un servidor web Linux que funcionaba en una organización del sector educativo. Se cree que data de la segunda mitad de 2021.

“SysJoker se hace pasar por una actualización del sistema y genera su C2 [comando y control] decodificando una cadena recuperada de un archivo de texto alojado en Google Drive”, explicó el proveedor en una entrada de blog.

“Durante nuestro análisis, el C2 cambió tres veces, lo que indica que el atacante está activo y está monitoreando las máquinas infectadas. Basándonos en la victimología y en el comportamiento del malware, evaluamos que SysJoker busca objetivos específicos.”

El malware está escrito en C++, con cada muestra personalizada para el sistema operativo al que se dirige. Preocupantemente, las versiones de Linux y macOS no habían sido detectadas en VirusTotal en el momento de escribir este artículo.

Aparte de la versión de Windows que contiene un dropper de primera etapa, las tres variantes funcionan igual. Después de la ejecución, el malware duerme hasta 120 segundos, luego crea un directorio y se copia a sí mismo bajo este directorio, simulando ser un ejecutable de servicio de interfaz de usuario común de gráficos Intel.

A continuación, recopila de forma encubierta información sobre la máquina y logra la persistencia, durmiendo entre estos pasos.

La comunicación con el servidor C2 se consigue descifrando un enlace de Google Drive codificado que contiene un archivo de texto con un C2 codificado. El C2 podría descargar malware adicional o ejecutar otros comandos en la máquina de la víctima.

El atacante registró al menos cuatro dominios distintos y escribió el malware para tres plataformas diferentes.

“Durante nuestro análisis, no hemos sido testigos de una segunda etapa o comando enviado por el atacante”, concluyó Intezer. “Esto sugiere que el ataque es específico, lo que suele corresponder a un actor avanzado.