Mercado abrirá em 4 h 48 min
  • BOVESPA

    108.941,68
    -160,32 (-0,15%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.599,38
    -909,02 (-1,73%)
     
  • PETROLEO CRU

    85,52
    +0,38 (+0,45%)
     
  • OURO

    1.837,40
    +5,60 (+0,31%)
     
  • BTC-USD

    35.212,88
    -174,93 (-0,49%)
     
  • CMC Crypto 200

    812,17
    +569,49 (+234,67%)
     
  • S&P500

    4.397,94
    -84,79 (-1,89%)
     
  • DOW JONES

    34.265,37
    -450,03 (-1,30%)
     
  • FTSE

    7.494,13
    -90,88 (-1,20%)
     
  • HANG SENG

    24.670,63
    -294,92 (-1,18%)
     
  • NIKKEI

    27.588,37
    +66,11 (+0,24%)
     
  • NASDAQ

    14.511,75
    +85,25 (+0,59%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,1722
    -0,0178 (-0,29%)
     

Malware SysJoker é capaz de se esconder em qualquer sistema operacional

·3 min de leitura

Ataques em múltiplas etapas e com foco na evasão são as táticas do SysJoker, um novo malware descoberto em meados de dezembro e que está se tornando ponto de atenção para os especialistas de segurança. Isso porque a praga utiliza técnicas de ofuscação para se manter oculto de sistemas de segurança, enquanto baixa soluções maliciosas desenvolvidas especificamente para cada plataforma a partir de servidores controlados pelos criminosos.

Apesar do nome fazer menção ao Coringa, não há nada de espalhafatoso na solução, desenvolvida em C++ e ainda não detectada pela maioria dos softwares de segurança do mercado. É o que faz com que a descoberta, feita pelos analistas da Intezer, se torne ainda mais importante, principalmente por seu foco em apagar os próprios rastros e criar entradas de registro que permitam sua persistência nas máquinas contaminadas.

Soluções como Google Drive e GitHub também são usadas para entregar diferentes fases do ataque. No Windows, a praga chega a ficar dormente nos primeiros minutos após a infecção, antes de criar um novo diretório e se disfarçar como se fosse uma interface de serviços da Intel; informações sobre o dispositivo comprometido são compartilhadas com um servidor sob o controle dos criminosos, que entrega o malware usado nas etapas posteriores.

Nas plataformas, estão documentos de texto que levam aos downloads das soluções maliciosas, com os pesquisadores detectando mudanças constantes de forma a evitar detecção e bloqueio pelas redes. Tokens únicos também são atribuídos a cada máquina infectada, de forma que os bandidos possam executar ataques direcionados caso atinjam servidores corporativos de grande porte ou dispositivos de maior interesse.

Entre as ações vistas pela Intezer está o download de novas pragas e a execução de comandos remotamente, permitindo abrir mais portas de contaminação ou obter informações adicionais. O SysJoker também seria capaz de apagar a si mesmo do sistema, caso seja ordenado, aumentando ainda mais a furtividade após um ataque — nas versões Linux e macOS, muda a entrega inicial, sem o uso de arquivos DLL, com o mesmo comportamento posterior.

De acordo com os especialistas em segurança, se trata de um ataque ainda em expansão, com os primeiros incidentes parecendo focados em servidores Linux. Por outro lado, não existem informações sobre as iscas usadas para entrada nos sistemas ou focos específicos da quadrilha, bem como utilizações para a detonação de ataques de ransomware e outros, uma vez que estamos falando de uma campanha ainda em seus estágios iniciais.

Como se proteger

Enquanto muitos softwares de segurança ainda não são capazes de detectar a contaminação, o upload das amostras do SysJoker ao repositório VirusTotal é o primeiro passo para isso. Além disso, a Intezer divulgou indicadores de comprometimento para cada sistema operacional, que foram publicados pelo site Bleeping Computer, bem como alguns dos domínios usados pelos servidores de comando e controle, de forma que usuários e administradores possam vasculhas seus sistemas em busca de infecção.

Outras medidas envolvem atenção a processos desconhecidos ou irregulares no sistema e o uso de soluções de segurança adequadas, incluindo firewalls e softwares conectados, que devem estar sempre atualizados para suas últimas versões. Por fim, medidas comuns de higiene também ajudam, como evitar clicar em links ou baixar soluções que venham por e-mail ou mensagem direta.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos