Các nhà nghiên cứu của Intezer vừa phát hiện ra một lỗ hổng bảo mật chưa từng thấy trên các thiết bị chạy hệ điều hành Windows, macOS hoặc Linux. Hiện tại phần lớn công cụ quét mã độc hại vẫn chưa thể phát hiện ra lỗ hổng này.
Lỗ hổng bảo mật này được các nhà nghiên cứu tại công ty bảo mật Intezer đặt tên là SysJoker. Họ phát hiện ra SysJoker trên một máy chủ chạy hệ điều hành Linux, nhưng sau khi đào sâu hơn, họ còn tìm thêm được các phiên bản khác của phần mềm độc này trên cả Windows và macOS.
Đây là tin đáng báo động bởi hầu hết phần mềm độc hại trước đây chỉ hoạt động trên một hệ điều hành cụ thể, khả năng hoạt động đa nền tảng của SysJoker là rất hiếm. Các nhà nghiên cứu cho rằng phần mềm độc này đã được tung ra vào khoảng nửa cuối năm 2021.
 |
| SysJoker có thể giả dạng thành một bản cập nhật hệ thống. Ảnh: Intego. |
Các phân tích về hai phiên bản trên Windows và MacOS cho thấy SysJoker có khả năng xâm nhập hệ thống rất cao. Các tệp thực thi của cả hai phiên bản Windows và macOS đều có đuôi “.ts". Intezer cho biết có thể SysJoker đã giả dạng thành một bản cập nhật hệ thống.
Trong khi đó ông Patrick Wardle - chuyên gia bảo mật Mac kiêm cựu hacker của NSA lại cho rằng SysJoker đã giả mạo thành tệp nội dung trong một luồng truyền tải video. Ông cũng nhận thấy rằng tệp macOS đã được ký bằng một loại chữ ký kỹ thuật số đặc biệt.
Hiện tại hai phiên bản trên Linux và macOS của SysJoker hoàn toàn không bị phát hiện khi sử dụng công cụ tìm kiếm mã độc VirusTotal. Trong thời gian các nhà nghiên cứu đang phân tích phần mềm độc này, kẻ tấn công đã hoạt động và theo dõi các máy bị nhiễm.
Dựa trên dữ liệu về các tổ chức bị tấn công và hành vi của SysJoker, Interzer đánh giá rằng SysJoker đang theo dõi các mục tiêu cụ thể. Có thể mục đích của những kẻ tấn công là đánh cắp thông tin hoặc tống tiền.
