Tin Tức

Backdoor cho Windows, macOS và Linux không bị phát hiện cho đến bây giờ

( caigicungpost.com ) –

Backdoor cho Windows, macOS và Linux không bị phát hiện cho đến bây giờ

Các nhà nghiên cứu đã phát hiện ra một cửa hậu chưa từng thấy trước đây được viết từ đầu cho các hệ thống chạy Windows, macOS hoặc Linux mà hầu như tất cả các công cụ quét phần mềm độc hại vẫn không bị phát hiện.

Các nhà nghiên cứu từ công ty bảo mật Intezer cho biết họ đã phát hiện ra SysJoker — cái tên họ đặt cho cửa hậu — trên Webserver dựa trên Linux của một “tổ chức giáo dục hàng đầu”. Khi các nhà nghiên cứu tìm hiểu kỹ, họ đã tìm thấy các phiên bản SysJoker cho cả Windows và macOS. Họ nghi ngờ phần mềm độc hại đa nền tảng đã được tung ra vào nửa cuối năm ngoái.

Khám phá có ý nghĩa vì một số lý do. Đầu tiên, phần mềm độc hại đa nền tảng hoàn toàn là một thứ rất hiếm, với hầu hết phần mềm độc hại được viết cho một hệ điều hành cụ thể. Cửa hậu cũng được viết từ đầu và sử dụng bốn máy chủ điều khiển và lệnh riêng biệt, một dấu hiệu cho thấy những người phát triển và sử dụng nó là một phần của tác nhân đe dọa tiên tiến đã đầu tư nguồn lực đáng kể. Việc phần mềm độc hại Linux chưa từng thấy trước đây được tìm thấy trong một cuộc tấn công trong thế giới thực cũng là một điều bất thường.

Các phân tích về phiên bản Windows (của Intezer) và phiên bản dành cho Mac (của nhà nghiên cứu Patrick Wardle) cho thấy SysJoker cung cấp các khả năng cửa hậu nâng cao. Các tệp thực thi cho cả phiên bản Windows và macOS có hậu tố .ts. Intezer cho biết đó có thể là một dấu hiệu cho thấy tệp được giả mạo là một ứng dụng script kiểu đã lan truyền sau khi bị đánh cắp vào kho lưu trữ JavaScript npm. Intezer tiếp tục nói rằng SysJoker giả dạng như một bản cập nhật hệ thống.

Wardle, trong khi đó, cho biết phần mở rộng .ts có thể cho biết tệp được giả mạo là nội dung luồng truyền tải video. Ông cũng nhận thấy rằng tệp macOS đã được ký kỹ thuật số, mặc dù với một chữ ký đặc biệt.

SysJoker được viết bằng C ++ và tính đến thứ Ba, phiên bản Linux và macOS hoàn toàn không bị phát hiện trên công cụ tìm kiếm phần mềm độc hại VirusTotal. Backdoor tạo miền máy chủ điều khiển của nó bằng cách giải mã một chuỗi được truy xuất từ ​​tệp văn bản được lưu trữ trên Google Drive. Trong thời gian các nhà nghiên cứu đang phân tích, máy chủ đã thay đổi ba lần, cho thấy kẻ tấn công đang hoạt động và theo dõi các máy bị nhiễm.

Dựa trên các tổ chức được nhắm mục tiêu và hành vi của phần mềm độc hại, đánh giá của Intezer là SysJoker đang theo dõi các mục tiêu cụ thể, rất có thể với mục tiêu “hoạt động gián điệp cùng với di chuyển ngang, điều này cũng có thể dẫn đến một cuộc tấn công ransomware như một trong những giai đoạn tiếp theo”.

Bạn cũng có thể thích
Menu