Das Sicherheitsunternehmen Intezer hat nach eigenen Angaben eine neue Schadsoftware entdeckt, die es auf Windows, Linux und macOS gleichermaßen abgesehen hat. Entdeckt wurde die Sysjoker getaufte Malware laut einem Blogbeitrag des Unternehmens bei einem aktiven Angriff auf den Linux-basierten Webserver einer „führende Bildungseinrichtung“. Später fand das Unternehmen dann auch Windows- und Mac-Versionen der Software.
Sysjoker tarnt sich als Systemupdate und ruft dann eine auf Google Drive gespeicherte Datei auf. Die wiederum enthält Angaben zum Kontrollserver, über den die Angreifer:innen Kontakt zu dem infizierten System aufbauen. Nach Angaben von Intezer wurde der Kontrollserver während der Untersuchung mehrfach geändert. Das deute darauf hin, dass die unbekannten Angreifer:innen aktiv die infizierten Maschinen überwachen. Die Sysjoker-Malware wurde zumindest in der Variante für macOS und Linux bislang nicht von der zum Google-Konzern gehörenden Antiviren-Datenbank als Schädling erkannt.
Angreifer:innen wählten ihre Opfer vermutlich sehr gezielt aus
Die Experten von Intezer gehen aufgrund des Verhaltens der Schadsoftware und der Zielauswahl davon aus, dass die Angreifer:innen auf ausgewählte Ziele aus waren. Außerdem geht das Team davon aus, dass sich hinter der Software eine gut organisierte Gruppe verbirgt. Darauf deute hin, dass die Malware von Grund auf neu geschrieben sein muss, was ein gewisses Maß an Ressourcen voraussetzt. Außerdem sei es selten, dass bislang unbekannt Linux-Schadsoftware in einem aktiven Angriff zum Einsatz kommt.
Darüber hinaus haben die unbekannten Angreifer:innen nicht nur eine Malware für drei Desktop-Betriebssysteme geschrieben, sondern auch mindestens vier unterschiedliche Domains für ihren Angriff verwendet. „Das deutet darauf hin, dass es sich um einen spezifischen Angriff handelt, der in der Regel auf einen fortgeschrittenen Akteur hindeutet“, erklärt das Intezer-Team in einem Blogbeitrag.