SysJoker: Este backdoor malicioso dedica-se a atacar o macOS, Linux e o Windows
O mundo da segurança informática está em constante alerta, fruto de novos ataques e novas ameaças que surgem. Estas não escolhem o momento para surgir e normalmente têm efeitos devastadores para os utilizadores.
A mais recente propostas nesta área tem uma particularidade única, que a torna ainda mais destrutiva. O SysJoker existe e dedica-se a atacar um leque grande de sistemas. O macOS, o Linux e o Windows são as suas vítimas.
SysJoker é um novo backdoor malicioso
Apesar de ser apenas conhecido agora, o SysJoker não é uma ameaça nova. Do que se sabe, há mais de 6 meses que está a ser usado na Internet para que possa abrir as portas para a chegada de malware aos sistemas mais usados.
A sua particularidade única é mesmo estar desenhado para não se limitar a um único sistema. O SysJoker sabe-se que tem versões para ser usado no macOS, Linux e Windows, adaptando-se de forma demasiado natural ao sistema onde consegue entrar.
macOS, Linux e o Windows são as vítimas
Para conseguir ter esta capacidade de adaptação, ele usa vários métodos distintos. No caso do Windows, recorre a uma DLL, que depois recolhe da internet todo o material malicioso, instalando-se e executando-se posteriormente. No caso do Linux e do macOS, que não usam DLLs, existem formas similares de realizar o ataque.
Quando o SysJoker consegue ficar permanente no sistema operativo, inicia um processo de recolha de informação sobre o sistema e os utilizadores. Posteriormente, e depois de partilhar a sua informação, trata de fazer a infeção com outro malware.
Só agora começou a ser detetado e atacado
Outro ponto único do SysJoker é a sua capacidade de escapar aos antivírus e aos sistemas de proteção dos sistemas operativos. Para isso, adapta-se e protege-se simulando ser partes do sistema. No limite, e depois de infetar com outro malware, remove-se dos sistemas.
Naturalmente que ao ser descoberta acabou por se tornar visível para as ferramentas de proteção dos sistemas. Ainda assim, poderá estar já presente em muitos sistemas, uma vez que consegue atacar o macOS, o Linux e o Windows.
Este artigo tem mais de um ano
Fonte: Intezer
Proponha uma correção, faça uma sugestão
Loading ...
Então, e já existe alguma ferramenta que o consiga detectar?
Depende do sistema operativo.
Para Linux, sempre existiu.
Como é fácil saber quais são os binários instalados, assim como os ficheiros com permissões de execução mesmo em user space, quem tem todos os binários instalados com a respectiva hash, tem forma de confirmar que o binário tem a mesma hash do que o binário que estará num repositório oficial da distro, assim como os executáveis em user space.
Claro que há distros que facilitam muito mais está tarefa que outras.
Pois….
E quem garante que o binário do repositório é o correcto?
Vá perguntar a solarwinds
Do Windows e macOS não sei dizer, mas no Linux, esse vírus, assim como os que têm esse modelo, não funcionam em todas as distribuições de Linux.
Há distros que pela sua forma estruturada de gestão quer da instalação quer da configuração de software e do próprio sistema em si, a maioria destes vírus simplesmente não funciona.
Este SysJoker precisa de autorização de root para correr. Só conseguirá através da burrice de algum utilizador que faça download de software fora dos repos oficiais ou através do Steam.
Atacar o linux pode tentar, mas ter sucesso ja e outra conversa.
Mas para Linux é preciso desconfiar para se testar?
Quero perguntar, calcular e comparar o hash não é algo que depende da iniciativa do dono do computador?
Como é que um dono vai pesquisar um dado binário sem motivo?
É preciso desconfiar em todos os sistemas operativos, dai no Windows teres anti virus, que basicamente testa de tempos a tempos os ficheiros, alem de que sempre instalas ou executas algo, o anti virus faz o seu trabalho.
Tudo depende da iniciativa do dono da maquina, se não quiser, tbm não usa anti virus no Windows, ou tbm não actualiza nada, ou usa um browser com falhas de segurança conhecidas e vai a qualquer site manhoso que vem por email e corre todo o JS que la anda, tudo é opção da pessoa que está entre a cadeira e o computador.
O dono não precisa de imaginar que pode existir um binario alterado, nem é por tentativa e erro, já existem soluções para automatizar tudo, tal e qual um anti virus no Windows.
Estás a partir do pressuposto que em Linux é tudo manual, quando na verdade não há melhor sistema operativo que o Linux para automatizar tudo, backups, instalação de sofware, actualizações, verificações de integridade, etc, etc… Há carradas de sofware em Linux para tudo isto.
Há distros que te facilitam tanto a vida, que uma equipa de desenvolvimento pode ter literalmente trabalhar nos quatro cantos do mundo (remotamente) e ter bit por bit todo os ambientes de desenvolvimento, testes e produção sincronizados, com verificação automatica de diferenças, assim como ter todos os clientes sincronizados com a ultima versão do binario que se quer, e com verificação de integridade.
Eu sei que no mundo do Windos e macOS isto parece quase ficção, mas é verdade e possivel.
Sabia que as empresas a sério tem políticas em que não basta verificar a hash do ficheiro mas antes disso contactar quem desenvolve a aplicação e confirmar que a hash é verdadeira?
Porque é suposto quem usa os OS saber que medidas deve ter para lidar comn isso.
Deve fazer a verificação sempre e nãop apenas quando desconfia.
Toca a instalar