SysJoker: Remote Access Tool (RAT) Malware für macOS, Windows und Linux

SysJoker

Ich habe in den letzten Stunden einiges über SysJoker gelesen und finde, der beste englischsprachige Artikel dazu ist einer von ArsTechnica (Quelle). Viele der Infos in diesem Artikel habe ich hier "verwurstet" und dann noch meinen eigenen Senf dazu gegeben. Für das Sir Apfelot Blog ist dies interessant, da SysJoker nicht nur auf Windows und Linux läuft, sondern auch Macs angreifen kann.

Ist SysJoker eine Gefahr für meinen Mac?

Um euch erst einmal zu beruhigen, möchte ich diese Frage direkt als erstes klären. Ja, im Prinzip ist SysJoker eine Gefahr für jeden Mac – wie jede andere Malware auch. Diese benötigen grundsätzlich bei modernen macOS Versionen Admin-Rechte, um zu laufen. Das heißt, wenn ihr ohne ersichtlichen Grund von einem Programm nach eurem Admin-Passwort gefragt werdet, solltet ihr es nicht eingeben.

Wenn man sich daran hält und dann noch auf gecrackte Software und dubiose Webseiten verzichtet und nicht auf Links in Phishing-Mails klickt, dann müsstet ihr eigentlich auf der sicheren Seite sein.

Wer trotzdem auf Nummer sicher gehen möchte, kann sich mit MalwareBytes einen zuverlässigen Scanner für Viren und Malware holen, der oft empfohlen wird.

Ich denke aber, dass auch andere Antiviren-Software-Produkte für den Mac die Bedrohung durch SysJoker schon auf dem Schirm haben und die Malware entdecken und entfernen können.

Die Malware SysJoker erlaubt es, den befallenen Computer fernzusteuern und weitere Schadprogramme zu installieren (Grafik: Intezer).

Die Malware SysJoker erlaubt es, den befallenen Computer fernzusteuern und weitere Schadprogramme zu installieren (Grafik: Intezer).

Wie wurde SysJoker entdeckt?

Sicherheitsforscher haben eine Malware entdeckt, die von Grund auf für Windows-, macOS- oder Linux-Systeme geschrieben wurde und fast alle Malware-Scanner umgangen hat.

Laut den Forschern von Intezer wurde SysJoker – so nennen sie die Backdoor-Malware – auf dem Linux-basierten Webserver einer "führenden akademischen Einrichtung" entdeckt. Als sie weiter nachforschten, fanden die Forscher SysJoker-Versionen für Windows und macOS. Sie glauben, dass SysJoker in der zweiten Hälfte des letzten Jahres gestartet wurde.

Keine Backdoor im Betriebssystem

In vielen Artikeln über SysJoker liest man von einer Backdoor, aber eigentlich ist dies der falsche Begriff, denn eine Backdoor ist eine Sicherheitslücke, die absichtlich in einem System eingebaut wird, um sie später zu nutzen. Schreibt man über eine "Backdoor in Windows, Linux und macOS", so klingt das, als wäre es eine gewollte Lücke in den drei Betriebssystemen. Das ist Quatsch, denn SysJoker ist erst einmal "nur" eine Malware – mit ein paar Besonderheiten, zu denen wir gleich kommen.

Was macht SysJoker so besonders?

Erstens ist plattformübergreifende Schadsoftware ungewöhnlich, da die meisten Schadprogramme für eine einzige Plattform entwickelt werden. Die RAT (Fernsteuersoftware) in SysJoker wurde außerdem von Grund auf neu entwickelt und verwendet vier verschiedene Command-and-Control-Server, was darauf hindeutet, dass die Entwickler Teil eines fortgeschrittenen Bedrohungsakteurs sind. Es ist auch ungewöhnlich, dass bisher unbekannte Linux-Malware bei einem echten Angriff auftaucht.

Wie schleust sich SysJoker ein?

Laut Analysen der Windows-Version (von Intezer) und der Mac-Version (vom Forscher Patrick Wardle) bietet SysJoker ausgeklügelte Backdoor-Funktionen. Die Suffixe .ts und .exe wurden sowohl in den ausführbaren Dateien der Windows- als auch der macOS-Version gefunden. Laut Intezer könnte dies darauf hindeuten, dass die als Skript-App getarnte Datei nach dem Einfügen in das npm JavaScript-Repository als System-Update getarnt wurde. SysJoker soll sich als System-Update ausgeben.

Schließlich konnte Intezer nicht feststellen, wie die Malware eingeschleust wurde. Die Hypothese, dass sie über ein bösartiges npm-Paket oder eine betrügerische Erweiterung installiert wurde, um den illegalen Installer zu verbergen, legt nahe, dass die Infektionen nicht durch das Ausnutzen einer Sicherheitslücke, sondern durch Täuschung verursacht wurden.

In der Zwischenzeit sagte Wardle, dass die .ts-Erweiterung darauf hindeuten könnte, dass die Datei als Videotransportstrom-Inhalt getarnt ist. Er entdeckte, dass die OSX-Datei zwar kryptografisch signiert war, aber nur mit einer Ad-hoc-Signatur.

Was macht die Malware SysJoker auf dem System?

Der Code der Malware ist in C++ geschrieben, und die Linux- und macOS-Versionen wurden von der Malware-Suchmaschine VirusTotal überhaupt nicht entdeckt. Die Domäne des Kontrollservers wird durch die Dekodierung einer Zeichenkette aus einer Google Drive Textdatei erzeugt. Während der Untersuchung der Forscher wurde der Server dreimal aktualisiert, was beweist, dass der Angreifer aktiv war und nach infizierten Computern suchte.

Aufgrund der anvisierten Organisationen und der Aktivitäten der Malware geht Intezer davon aus, dass SysJoker es auf bestimmte Personen abgesehen hat, mit dem Ziel der eSpionage in Verbindung mit anderen Aktionen, die in einem der nächsten Schritte zu einem Ransomware-Angriff führen könnten.



Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft oder bei Patreon unterstützen würdest.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.