Los investigadores han descubierto una puerta trasera nunca antes vista escrita desde cero para sistemas que ejecutan Windows, macOS o Linux que no fue detectada por prácticamente todos los motores de análisis de malware. Investigadores de la firma de seguridad Intezer dijeron que descubrieron SysJoker, el nombre que le dieron a la puerta trasera, en el servidor web basado en Linux de una "institución educativa líder". A medida que los investigadores profundizaron, también encontraron versiones de SysJoker para Windows y macOS.
Comentarios
Menos mal que yo uso Debian, que tranquilo me quedo.
Enviado desde mi Windows 10.
#1 Desde que existe lo del Windows linux subsystem, eso que pones es posible.
#1 La implementación linux solo funciona en algunas versiones rhel.
https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/
https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/
#1 Yo también uso Debian
Enviado desde:
PRETTY_NAME="Debian GNU/Linux 11 (bullseye)"
NAME="Debian GNU/Linux"
VERSION_ID="11"
VERSION="11 (bullseye)"
VERSION_CODENAME=bullseye
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"
Siempre se ha dicho que los postinstall scripts que hacen los gestores de paquetes de los principales lenguajes son muy peligrosos, porque pueden ejecutar código arbitrario con el usuario actual del sistema y compilar código C/C++.
No estoy seguro, pero me ha sonado a eso (tengo que releerlo mañana e investigar las fuentes).
Quizá que este código de ejecute en un sandbox con WebAssembly, mejoraría la situación. Lo mismo se estaba planeando con las macros de Rust.
#5 Los amigos no dejan a sus amigos compilar código de fuentes desconocidas
#6 "Fuera de un sandbox propiamente aislado", añadiría.
CC #5
Alguno del MIT haciendo el TFG
El artículo parece algo sensacionalista o yo me estoy perdiendo algo, no es un backdoor en ninguno de los tres sistemas operativos, es básicamente malware que te tienes que descargar para que te afecte y no te tienes que preocupar por el mero uso del sistema operativo. Vamos, que la solución no viene por un parche del sistema operativo, sino porque lo detecten las herramientas antimalware.
#9 Hasta donde yo entiendo, si que lo hace. Aprovecha para colarse en el sistema con privilegios como un fichero de actualización del repo npm o de streaming (con firma incluída, para que sea validado) y a partir de ahí "The backdoor generates its control-server domain by decoding a string retrieved from a text file hosted on Google Drive", según el sistema abre puertas de una manera u otra.