Malware SysJoker é capaz de se esconder em qualquer sistema operacional

Ataques em múltiplas etapas e com foco na evasão são as táticas do SysJoker, um novo malware descoberto em meados de dezembro e que está se tornando ponto de atenção para os especialistas de segurança. Isso porque a praga utiliza técnicas de ofuscação para se manter oculto de sistemas de segurança, enquanto baixa soluções maliciosas desenvolvidas especificamente para cada plataforma a partir de servidores controlados pelos criminosos.

• 6 tendências tecnológicas que vão impactar o setor de segurança em 2022
• FBI alerta empresas dos EUA sobre ataques feitos a partir de dispositivos USB

Apesar do nome fazer menção ao Coringa, não há nada de espalhafatoso na solução, desenvolvida em C++ e ainda não detectada pela maioria dos softwares de segurança do mercado. É o que faz com que a descoberta, feita pelos analistas da Intezer, se torne ainda mais importante, principalmente por seu foco em apagar os próprios rastros e criar entradas de registro que permitam sua persistência nas máquinas contaminadas.

Soluções como Google Drive e GitHub também são usadas para entregar diferentes fases do ataque. No Windows, a praga chega a ficar dormente nos primeiros minutos após a infecção, antes de criar um novo diretório e se disfarçar como se fosse uma interface de serviços da Intel; informações sobre o dispositivo comprometido são compartilhadas com um servidor sob o controle dos criminosos, que entrega o malware usado nas etapas posteriores.

Nas plataformas, estão documentos de texto que levam aos downloads das soluções maliciosas, com os pesquisadores detectando mudanças constantes de forma a evitar detecção e bloqueio pelas redes. Tokens únicos também são atribuídos a cada máquina infectada, de forma que os bandidos possam executar ataques direcionados caso atinjam servidores corporativos de grande porte ou dispositivos de maior interesse.

Entre as ações vistas pela Intezer está o download de novas pragas e a execução de comandos remotamente, permitindo abrir mais portas de contaminação ou obter informações adicionais. O SysJoker também seria capaz de apagar a si mesmo do sistema, caso seja ordenado, aumentando ainda mais a furtividade após um ataque — nas versões Linux e macOS, muda a entrega inicial, sem o uso de arquivos DLL, com o mesmo comportamento posterior.

De acordo com os especialistas em segurança, se trata de um ataque ainda em expansão, com os primeiros incidentes parecendo focados em servidores Linux. Por outro lado, não existem informações sobre as iscas usadas para entrada nos sistemas ou focos específicos da quadrilha, bem como utilizações para a detonação de ataques de ransomware e outros, uma vez que estamos falando de uma campanha ainda em seus estágios iniciais.

Como se proteger

Enquanto muitos softwares de segurança ainda não são capazes de detectar a contaminação, o upload das amostras do SysJoker ao repositório VirusTotal é o primeiro passo para isso. Além disso, a Intezer divulgou indicadores de comprometimento para cada sistema operacional, que foram publicados pelo site Bleeping Computer, bem como alguns dos domínios usados pelos servidores de comando e controle, de forma que usuários e administradores possam vasculhas seus sistemas em busca de infecção.

Outras medidas envolvem atenção a processos desconhecidos ou irregulares no sistema e o uso de soluções de segurança adequadas, incluindo firewalls e softwares conectados, que devem estar sempre atualizados para suas últimas versões. Por fim, medidas comuns de higiene também ajudam, como evitar clicar em links ou baixar soluções que venham por e-mail ou mensagem direta.

Fonte: Bleeping Computer