Det är inte ovanligt att skadlig programvara riktar in sig på specifika system eller plattformar, även om varianter som påverkar över flera plattformar förekommer. I ett nyligen publicerat blogginlägg rapporterar IT-säkerhetsfirman Intezer om ett helt nytt angrepp av den senare typen, som i dagsläget inte fångas upp av något antivirusprogram eller andra skydd mot skadlig programvara.
Säkerhetsforskare hos Intezer gjorde fyndet i december 2021, då en attack upptäcktes på servrar tillhörande en större utbildningsinstitution. Mer specifikt handlar det om en ny typ av bakdörr (RAT), som utöver att vara skriven helt från grunden i C++, påverkar flera plattformar. Efter djupgående analyser konstaterades att bakdörren kan installeras på samtliga system som kör antingen Windows, Mac OS eller Linux. När Sysjoker väl installerats kan full exekvering av önskad kod ske – helt utan användarens vetskap.
Exakt hur Sysjoker tar sig in i systemet är i dagsläget oklart. En misstanke finns att en del skadlig kod har smugit sig in genom en pakethanterare för Javascript. Vidare menar säkerhetsexperter att det sannolikt inte rör sig om en sårbarhet som nyttjats, utan att användare själva installerat bakdörren av misstag. Programmet maskerar sig och kan enkelt misstas som en helt vanlig systemuppdatering med falska filändelser. På Mac OS-sidan använder sig även viruset av adhoc-signaturer.
I blogginlägget finns detaljerade beskrivningar kring hur viruset agerar och hur det går att upptäcka, och Intezer antyder att det ligger stora resurser bakom projektet och att det varit aktivt åtminstone sedan fjolårets andra halva. Det tycks välja ut mycket specifika mål, baserat på de hittills kända infekterade maskinerna och virusets generella beteendemönster.
Bland möjliga syften med den skadliga programvaran uppges spionage eller att vid senare skede sprida viruset vidare genom så kallad lateral movement, en teknik som används av cyberkriminella för att navigera kapade nätverk. Säkerhetsexperterna bakom upptäckten utesluter inte heller framtida ransomware-attacker som nästa steg.
