Arriva il super-malware che colpisce tutte le piattaforme

C'era una volta la convinzione che i malware potessero attaccare soltanto uno specifico sistema operativo. Non era necessariamente vero, ma tale credenza si basava sulla schiacciante predominanza di attacchi mirati a contagiare computer Windows, rispetto a macOS o Linux.

L'arrivo di un nuovo super-malware rappresenta un evento raro quanto preoccupante, non solo perché capace di colpire tutti - o quasi - i sistemi operativi sul mercato. Il codice malevolo sarebbe in circolazione da diversi mesi (pare dalla metà del 2021) e sarebbe in grado di inserirsi nei dispositivi acquisendo livelli di autorizzazioni particolarmente elevati. Di fatto, permetterebbe a chi lo controlla di gestire l'accesso da remoto dei computer infetti.

Il malware è stato inizialmente scoperto su un server web Linux e battezzato SysJoker. Successivamente ne sono state individuate versioni in circolazione anche su macOS e Windows. Insolito anche il fatto che sia stato scritto da zero, non modificando un precedente codice malevolo. Il fatto che utilizzi quattro server C&C separati spinge gli esperti a pensare che si tratti di una minaccia reale ed elevata, realizzata da qualcuno che può contare su notevoli risorse.

Super-malware, quali rischi?

Gli esperti hanno identificato caratteristiche assolutamente simili tra le versioni individuate nei vari sistemi operativi. In generale si parla di un malware che garantisce una porta di accesso ai dispositivi, seguendo il modello RAT (Remote Access Tool). Ad affermarlo Intezer e Patrick Wardle, che hanno individuato rispettivamente la versione Windows e Mac. Secondo entrambi i file eseguibili avrebbero la medesima estensione (.ts).

Su Windows il malware potrebbe arrivare tramite un pacchetto npm o attraverso un file con estensione contraffatta per mascherare la vera natura del file di installazione. Su MacOS potrebbe essere stato mascherato da file video transport stream.

In tutti i casi si tratta di un file C++, che sfrutta una stringa di testo contenuta in un file caricato su Google Drive per collegare il computer infetto al server di controllo. A cosa mirano i cybercriminali? Secondo Intezer l'attacco punta in alto, andando a frugare tra i segreti e le informazioni sensibili delle aziende e di obiettivi specifici. Una volta individuato il target giusto potrebbe innescare un attacco di tipo "ransomware".

Si tratta di un tipo di minaccia in base alla quale l'hacker blocca il computer e i dati presenti sulla macchina, salvo poi chiedere un riscatto per "liberare" il dispositivo imprigionato.