Onderzoekers vonden onlangs een opmerkelijke backdoor-malwarevariant die geschreven is voor Windows, macOS en Linux, die tot nu toe onopgemerkt bleef.
De ontdekking is gedaan door onderzoekers van het beveiligingsbedrijf Intezer. Ze ontdekten de malware, die ze de naam SysJoker gaven, op de Linux-servers van een onderwijsinstelling. Niet lang daarna kwamen ook versies voor Windows en macOS aan het ligt. De onderzoekers verwachten dat het gaat om een cross-platform remote access trojan (rat). De trojan zou eind vorig jaar losgelaten zijn.
Unieke vorm van malware
De malware is om meerdere redenen uniek. Ten eerste wordt malware vaak specifiek voor één besturingssysteem geschreven en niet voor drie tegelijkertijd. Daarnaast is de malware van de grond af aan opgebouwd en maakt die gebruik van vier aparte command-and-control servers.
De manier waarop de malware geïnstalleerd werd, is waarschijnlijk behoorlijk geniepig. De huidige theorie is dat dit gebeurde via een malafide npm-pakket of door gebruik te maken van een bedrieglijke extensie, waardoor het installatiebestand ongemerkt op een computer kon komen. De makers van de malware mikten waarschijnlijk niet op het uitbuiten van een fout in de software, maar wilden gebruikers zo ver krijgen de software zelf te installeren.
SysJoker is geschreven in C++. De versies voor Linux en macOS werden, tot op heden, niet opgepikt door de VirusTotal-malwarezoekmachine.