Portada

Hace 2 años | Por gelatti a arstechnica.com

Publicado hace 2 años por gelatti a arstechnica.com

Sysjoker, nuevo backdoor para Windows, macOS y Linux pasó desapercibido hasta ahora [ING]

arstechnica.com

Los investigadores han descubierto una puerta trasera nunca antes vista escrita desde cero para sistemas que ejecutan Windows, macOS o Linux que no fue detectada por prácticamente todos los motores de análisis de malware. Investigadores de la firma de seguridad Intezer dijeron que descubrieron SysJoker, el nombre que le dieron a la puerta trasera, en el servidor web basado en Linux de una "institución educativa líder". A medida que los investigadores profundizaron, también encontraron versiones de SysJoker para Windows y macOS.

comentarios destacados

#5: Siempre se ha dicho que los postinstall scripts que hacen los gestores de paquetes de los principales lenguajes son muy peligrosos, porque pueden ejecutar código arbitrario con el usuario actual del sistema y compilar código C/C++.

No estoy seguro, pero me ha sonado a eso (tengo que releerlo mañana e investigar las fuentes).

Quizá que este código de ejecute en un sandbox con WebAssembly, mejoraría la situación. Lo mismo se estaba planeando con las macros de Rust.

--624466--

hace 2 años

#1: Menos mal que yo uso Debian, que tranquilo me quedo.

_{Enviado desde mi Windows 10.}

mecha

hace 2 años

Comentarios

Mejores hilos

mecha

hace 2 años

Menos mal que yo uso Debian, que tranquilo me quedo.

_{Enviado desde mi Windows 10.}

V 10

K 85

ronko

hace 2 años

#1 Desde que existe lo del Windows linux subsystem, eso que pones es posible.

V 2

K 14

comadrejo

hace 2 años

editado

#1 La implementación linux solo funciona en algunas versiones rhel.

https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/
https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/

V 2

K 30

perrico

hace 2 años

#1 Yo también uso Debian
Enviado desde:
_{PRETTY_NAME="Debian GNU/Linux 11 (bullseye)"

NAME="Debian GNU/Linux"

VERSION_ID="11"

VERSION="11 (bullseye)"

VERSION_CODENAME=bullseye

ID=debian

HOME_URL="https://www.debian.org/"

SUPPORT_URL="https://www.debian.org/support"

BUG_REPORT_URL="https://bugs.debian.org/"}

V 1

K 24

Desactivado

hace 2 años

editado

Siempre se ha dicho que los postinstall scripts que hacen los gestores de paquetes de los principales lenguajes son muy peligrosos, porque pueden ejecutar código arbitrario con el usuario actual del sistema y compilar código C/C++.

No estoy seguro, pero me ha sonado a eso (tengo que releerlo mañana e investigar las fuentes).

Quizá que este código de ejecute en un sandbox con WebAssembly, mejoraría la situación. Lo mismo se estaba planeando con las macros de Rust.

V 6

K 68

xiscosoft

hace 2 años

#5 Los amigos no dejan a sus amigos compilar código de fuentes desconocidas

V 2

K 28

Wayfarer

hace 2 años

#6 "Fuera de un sandbox propiamente aislado", añadiría.

CC #5

V 3

K 38

antoniosoyo

hace 2 años

Alguno del MIT haciendo el TFG

V 3

K 31

zancudo

hace 2 años

El artículo parece algo sensacionalista o yo me estoy perdiendo algo, no es un backdoor en ninguno de los tres sistemas operativos, es básicamente malware que te tienes que descargar para que te afecte y no te tienes que preocupar por el mero uso del sistema operativo. Vamos, que la solución no viene por un parche del sistema operativo, sino porque lo detecten las herramientas antimalware.

V 3

K 31

#10

meneandro

hace 2 años

#9 Hasta donde yo entiendo, si que lo hace. Aprovecha para colarse en el sistema con privilegios como un fichero de actualización del repo npm o de streaming (con firma incluída, para que sea validado) y a partir de ahí "The backdoor generates its control-server domain by decoding a string retrieved from a text file hosted on Google Drive", según el sistema abre puertas de una manera u otra.

V 1

K 22

Sysjoker, nuevo backdoor para Windows, macOS y Linux pasó desapercibido hasta ahora [ING]

Etiquetas

comentarios destacados

Comentarios