Mario Ferrazzuolo di 19 gen 2022

SysJoker : il super malware che attacca tutti

sysjoker super

La convinzione che il malware possa attaccare solo un sistema operativo specifico deve essere sfatata. Non era necessariamente vero, ma questa convinzione si basava sulla schiacciante prevalenza di attacchi mirati a computer Windows su macOS o Linux. Gli esperti hanno individuato caratteristiche assolutamente simili tra le versioni individuate nei diversi sistemi operativi. In generale si parla di malware che garantisce un gateway ai dispositivi, seguendo il modello RAT (Remote Access Tool).

Ciò è stato confermato da Intezer e Patrick Wardle, che hanno identificato rispettivamente le versioni Windows e Mac. Secondo entrambi i file eseguibili, avrebbero la stessa estensione (.ts). Su Windows, il malware potrebbe arrivare tramite un pacchetto npm o tramite un file con estensione contraffatta per mascherare la vera natura del file di installazione. Su MacOS, potrebbe essere stato mascherato come file video di flusso di trasporto.

L'arrivo di un nuovo super malware è un evento raro e preoccupante, non solo perché in grado di colpire tutti, o quasi, i sistemi operativi presenti sul mercato. Il codice dannoso è in circolazione da diversi mesi (apparentemente dalla metà del 2021) e potrebbe entrare nei dispositivi acquisendo livelli di permessi particolarmente elevati. Permetterebbe, infatti, a chi lo controlla di gestire da remoto l'accesso ai computer infetti.

Il malware è stato scoperto per la prima volta su un server Web Linux ed è stato chiamato SysJoker. Successivamente sono state individuate versioni in circolazione anche su macOS e Windows. Insolito è anche il fatto che sia stato scritto da zero, senza modificare il codice dannoso precedente. Il fatto che utilizzi quattro server C&C separati porta gli esperti a credere che si tratti di una minaccia reale e alta, creata da qualcuno con risorse considerevoli.

In tutti i casi si tratta di un file C++, che utilizza una stringa di testo contenuta in un file caricato su Google Drive per collegare il computer infetto al server di controllo. Secondo Intezer, l'attacco mira in alto, prendendo di mira i segreti e le informazioni sensibili di aziende e obiettivi specifici. Una volta trovato il bersaglio giusto, potrebbe innescare un attacco "ransomware". Questo è un tipo di minaccia per cui l'hacker blocca il computer e i dati sulla macchina, solo per chiedere un riscatto per "liberare" il dispositivo incarcerato.