Attenti a SysJoker, nuovo malware che colpisce Windows, Linux e macOS

13 Gennaio 2022 57

Si chiama SysJoker, ed è un malware scoperto di recente dalla società di sicurezza informatica Intezer molto pericoloso perché colpisce sia Windows, sia macOS sia Linux. Il malware tra l'altro è stato identificato nel corso di un attacco condotto proprio a un server web basato su Linux, e la piattaforma online di scansione dei file VirusTotal non è stata in grado di identificarlo né per Mac né per Linux (per Windows invece sì).

SysJoker è per la precisione una backdoor, quindi un potenziale strumento di spionaggio a disposizione dell'hacker che lo controlla, che tuttavia di per sé non contiene attacchi dall'immediato impatto tangibile come un ransomware. Chiaro che, una volta che c'è una breccia in un sistema, è molto più facile che crolli tutto il resto delle difese, diciamo così. E comunque, anche il furto di dati personali potenzialmente molto sensibili (credenziali della banca o numeri di carte di credito, per esempio) è una minaccia altrettanto seria - e ben più subdola proprio perché difficile da vedere.

La buona notizia è che SysJoker non è un attacco che può essere lanciato da remoto e che non lascia possibilità di difesa all'utente. In effetti si maschera da aggiornamento software, quindi deve essere attivamente scaricato e installato. Il malware è scritto in C++ e include più varianti che si attivano in base al sistema operativo da colpire.


Il virus è stato identificato inizialmente a dicembre, e per il momento è difficile stabilire con precisione quali antivirus possano rilevarlo - al di fuori naturalmente di quelli prodotti da Intezer stessa. La società offre sul proprio blog ufficiale una serie di verifiche generiche che si possono compiere per accertarsi di essere puliti, ma, appunto, sono generiche e richiedono un certo livello di competenza. Mettiamola così: se non avete scaricato recentemente un aggiornamento software da qualche sito strano potete essere ragionevolmente sicuri di essere a posto.

In ogni caso, Intezer osserva che chi l'ha scritto probabilmente conosce il fatto suo: per cominciare è scritto completamente da zero, non riusando codice di altri malware come succede spesso; e per tre sistemi operativi diversi. Inoltre, sfrutta vulnerabilità che precedentemente non erano note, un fatto particolarmente raro se si guarda a Linux. Infine, sono stati registrati almeno 4 domini diversi per il server C&C, e l'attacco è stato molto cauto e ragionato: durante le analisi di Intezer non sono stati registrati comandi inviati dal server o una fase di attacco vero e proprio dopo l'infiltrazione.


57

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Simone

appenaho tempo lo leggo volentieri

smn_lrt

Il vero blocco in linux è che di default un eseguibile non può essere eseguito se è nella /home... E l'utente di base non ha il permesso di metterlo fuori dalla home.
Al contrario di Windows in cui gli eseguibili possono essere lanciati anche dai download...

Baz

ma come cavolo funziona la moderazione su sto sito?
quale sarebbe lo spam?
certo che poi voi di HDBlog ve la prendete (bannando la gente) se uno vi fa le critiche, ma cavolo, eliminate commenti senza alcun motivo.
la sezione commenti generalmente e' piena di me*da, di off topic, e di troll, il mio commento, invece a parte essere lungo, rimaneva a tema sicurezza dei sistemi operativi e delle falle di sistema, e sicuramente non c'era alcuno spam.

https://uploads.disquscdn.c...

Marocco2

Io lo lascio qui
https://madaidans-insecurities.github.io/linux.html
Buona lettura

Black_Codec

Da cui raramente metti repo di terze parti dubbie... Almeno spero!

axel_kevlar

Ma certo, hai ragione.

Baz

no... era per discutere sulla cavolata che dicevi sul numero di falle.

axel_kevlar

Tutto questo poema per dire quello che io ho detto in una semplice frase: "non esiste più il concetto di SO migliore/peggiore"

Baz

cosa dovrei dire scusa?
opinioni su quel sito che mostra il numero di falle?
quello non e' certo una comparazione per dire chi e' piu' o meno sicuro.
adesso e' un po che non ci vado, e non ce l'ho a portata di mano per controllare.
ma non sono comparabili.
windows ad esempio e' segmentato in tutte le sue versioni, il kernel linux e' raggruppato in un'unica voce, e all'interno nel dettaglio, falla per falla dice quali versioni del kernel sono affette.
ora ci sono ben 8 versioni del kernel ufficialmente supportate, spesso ci sono anche versioni vecchie che sono gia aggiornate per esempio falla nel kernel 5.15.13, ma nel frattempo la versione 5.15 ha gia ricevuto l'aggiornamento settimanale 5.15.14, e quella falla non e' piu' presente.
per le falle dei vari sistemi operativi (e quindi non solo kernel) e' uguale, all'interno di debian per sempio, ci sono svariate versioni di debian.
oltretutto.
avere piu' falle pubbliche non vuol certo dire che un sistema e' meno sicuro.
anche perche' in un sistema open source, per forza di cose e' piu' facile trovare falle, sopratutto nel caso di linux, che e' usato nella quasi totalita' dei server e quindi ci sono molti occhi puntati sopra.
oltretutto altra cosa importante, non e' tanto il numero di falle trovate, ma i tempi in cui queste falle vengono chiuse.
se per il sistema A vengono trovate 100 falle, e ne vengono fixate subito 95, mentre nel sistema B vengono trovate 50 falle ma ne vengono fixate 20... quale e' il sistema con meno falle conosciute?
oltretutto ogni falla ha la sua gravita', e la sua difficolta' ad essere sfruttata, ci sono falle gravi, e falle meno gravi, falle che richiedono l'accesso fisico, e falle che non richiedono accesso fisico.
capisci che non puoi comparare il tutto solamente in base al numero di falle?
la mia non era una critica, non prendertela male, e non mi interessa fare nemmeno guerre sugli os.
ognuno ha i suoi pro e contro.
normalmente per un uso desktop ritengono piu' sicuro linux, non tanto perche' ha meno falle, o perche' e' fatto meglio, ma semplicemente perche' i repository forniscono un grandissima sicurezza per evitare di installare software malevolo, e sopratutto perche' essendo poco diffuso a livello desktop c'e' molto meno software malevolo che gira.
ma questo non vuol dire che windows e' meno sicuro solo perche' ci sono piu' malware.
la maggior parte dei malware non c'entrano niente con la sicurezza del sistema operativo, anche se i container e strumenti di sicurezza come SELinux possono limitare molto i danni.
la maggior parte dei malware sfruttano l'incapacita'/ingenuita' dell'utente, e in quel caso puoi avere anche il sistema operativo piu' sicuro al mondo, ma se tu utente installi cose a caso e gli dai i permessi di fare danni, la colpa non e' dell'OS.
per questo, non reputo insicuro windows solo per il numero di malware.
ormai per quanto mi riguarda al giorno doggi per un uso desktop tutti i sistemi sono sicuri se l'utente e' abbastanza attento.
non siamo piu' ai tempi di windows xp dove ti infettavi con niente, anche inserendo una semplice chiavetta usb.
gli standard sono aumentati notevolmente, stare a fare i bambini dicendo questo e' piu' sicuro di quest'altro per me non ha senso, anche perche' e' difficilmente comparabile.

Olianza <3

L'os più sicuro è quello non connesso alla rete. Ecco qual'è. Fine.

Walter Antolini

Tutti e tre hanno difetti come pregi, ognuno ha il controllo per queste applicazioni non certificate, giustamente se l'utente bypassa il sistema è colpa sua. Usandoli tutti e tre da più di 30 anni, posso dire che quello più a rischio è Windows a questi attacchi a differenza di Apple che negli ultimi os hanno eliminato proprio la sezione x installare app da ogni provenienza salvo che nn lo disattivi manualmente compromettendo la sicurezza. Per Linux il 90% delle app sono da repo ufficiali o da compilare da sorgente quindi la vedo difficile salvo che nn sei proprio incompetente. Per Windows il 90% della gente scarica app senza licenza quindi hanno il sistema di sicurezza quasi sempre disattivato e spesso senza neanche l'antivirus/malware installato, quindi molto probabilmente qualcuno lo becca.

axel_kevlar

Diccelo tu allora. Se no le chiacchiere stanno a zero.

Baz

duole ammetterlo che??
miglior sistema di cosa??
il numero di falle rilevate non vuol dire nulla, sopratutto da quel sito che mostra tutte le falle, non e' certo uno strumento utile per dire chi ha piu' o meno falle, cosi' come non sta a dimostrare chi e' piu' o meno sicuro.

Baz

si si, e' esattamente cio' che stavo dicendo.
ovvero flatpak e snap sono potenzialmente piu' esposti rispetto ai repo che invece sono estremamente blindati (anche se poi flatpak e snap sono dentro a dei container, che ne aumenta la sicurezza).
e che gli antivirus sono praticamente inutili, sopratutto se uno installa solo roba dai repo

axel_kevlar

Io uso entrambi i sistemi. Ognuno ha il suo specifico scopo, non esiste più il concetto di SO migliore/peggiore. Windows è notevolmente migliorato a partire da Windows 8 e con Windows 10 Microsoft ha dimostrato un'ottima maturità.

Se si prendono in considerazione il numero di vulnerabilità, ossia di falle nel sistema che consentono a eventuali malintenzionati di accedervi indisturbati, Windows 10, duole ammetterlo, è il miglior sistema operativo degli ultimi 10 anni.

Simone

Questo è vero, ma di base non scarichi fuori dai repo.

E i rrpo di Linux non sono come quelli di Android;)

Emanuele Cavallaro

Chi installa software da GitHub sa quel che fa, quindi non è la maggioranza degli utenti che installa da lì.
Ormai la maggior parte del software che non trovi sui repository ufficiali li trovi su flathub e le App flatpak sono in sandbox, quindi isolate dall' host.
Poi se l'utente esegue software a caso, nessun OS è sicuro, anzi la maggior parte degli utenti Windows installa ".exe" dai siti esterni con in più che installa anche software crackato: "io ho adobbe per editare la foto del cane e tu no, marameo"

Emanuele Cavallaro

Un sistema sicuro al 100% non lo vedrai mai, ma sui desktop Linux si sta facendo uno sforzo per la sicurezza, ad esempio flatpak sono in sandbox, quindi limitate nelle.risorse e puoi decidere dove hanno accesso, Fedora abilita SeLinux in enforce mode di default, quindi anche se vieni infettato non è detto che la vulnerabilità viene sfruttata.

Emanuele Cavallaro

Linux ha un utenza molto più grande di altri OS: server, iot, desktop ecc

Emanuele Cavallaro

È evidente che scrivi conoscendo solo Windows e non sai come funzionano gli altri OS

Aster

io ho formattato ieri

Black_Codec

Il problema è l'origine da cui scarichi. Repository di terze parti non è detto cge siano sicure. La realtà è che linux non ha un parco utenza tale ne un target tale da invogliare la creazione di malware generici.

sopaug_

pazzo.

piero

Magari un software github con 2 stelle

carlo coppa

La possibilità che ci sia un malware quando si installa da fonti terze c'è sempre, tuttavia sia snap che flatpak hanno un repository dove comunque un controllo c'è, ovviamente questo non significa che non può succedere. Non esistono sistemi sicuri in assoluto, personalmente sul mio desktop con Linux ho pochissimi flatpak e i pochi sono note applicazioni ufficiali, il resto arriva tutto dai repository ufficiali.
Gli antivirus ci sono anche per Linux, ma è davvero raro su desktop incorrere in malware e virus ma possibile, ma comunque la maggior parte di essi funzionano solo su Windows, inoltre l'antivirus è un falso mito..l'antivirus può segnalarti un virus, solo dopo che questo ha colpito ignari utenti.
Inoltre GNU/Linux è profondamente diverso da Windows, sia come struttura gerarchica, permessi e quant'altro, non sto dicendo che è meglio o peggio, ognuno avrà una propria opinione, di certo è meno esposto di Windows, visto che su desktop ha una platea di utenti limitata rispetto a Windows.

carlo coppa
Astar
Baz

i casi in cui viene infettato il sito ufficiale di un software e' estremamente raro... e solitamente questo non passa certo inosservato, nel giro di poco, il sito si accorge di aver subito un attacco, e riporta tutto alla normalita', al contrario se io sono libero di caricare software su uno store, possono passare giorni o settimane prima che qualcuno si accorge che c'e' qualcosa che non va con quel pacchetto.
oltretutto, non ho mai detto che su linux non esiste la possibilita' di essere infettati, ho semplicemente detto, che il sistema a repository e' per forza di cose estremamente piu' sicuro di qualsiasi altro sistema di reperire software, perche' e' tutto super controllato, e solo i TU possono aggiungere pacchetti, e senza la tua chiave, non puoi caricare roba nei repo e comunque la roba caricata nei repo e' sempre trustata, prendendo robe provenienti dal sito ufficiale.
oltretutto, tra quando esce un aggiornamento sul sito ufficiale di un software, a quando quel software viene aggiornato nei repo passa sempre un po di tempo.
non e' che mozilla rilascia ora firefox nuovo, e subito automaticamente arriva l'aggiornamento anche nella distro.
questo lavoro lo fanno i maintainer del pacchetto, questo indirettamente tende a proteggerti ulteriormente nel caso in cui il sito di mozilla (o qualsiasi altro) venga hackerato e i binari del software cambiati.
il discorso sulla sicurezza, stava tutto sulla questione dei repository, che proprio per come sono strutturati sono quasi inattaccabili (ovvio niente sara' mai sicuro al 100%, ma e' altamente improbabile che del malware giri all'interno di repo ufficiali).

Alessandro Peter

In questo caso non è nemmeno nascosta, ma solo mascherata.
Insomma, c’è poco da far notizia quando uno si installa trojan.exe

Andrej Peribar

Ricordo con Vista, verificherò.

PuckBeastOfTheEnd

Uac è stato introdotto con XP non con vista

PuckBeastOfTheEnd

Su Linux oltre ai flatpack e snap esistono anche le appimage, e i sorgenti da compilare che magari integrano varie librerie da vari altri progetti, quindi come sono più volte riusciti a integrare malware su programmi anche sui siti ufficiali, esiste la possibilità di essere infettati anche su Linux.
MacOS spesso ha mostrato bug o buchi anche sul versante di sicurezza, benché non tutti i siti li riportano, es powerdir e noreboot.

Sandro

Non saprei valutare, ma a me interessa la sicurezza non il "grado di preparazione" dell'Os.

Andrej Peribar

Hai ragione.

IRNBNN

Piu di quelli, ci sono i personaggi che credono di sapere tutto e a cui bisogna dare ragione.

Buon anno.

Baz

pero' l'articolo dice che virustotal ha riconosciuto solo la versione windows, non quella linux e macos, che e' un po diverso come concetto.
anche perche' virus total e' solo uno scanner online, quindi non scansiona il tuo pc, quindi non rileva "un'infezione" in corso, ma previene solo, scansionando un file o un url prima che lo esegui.
insomma e' un software completamente diverso da windows defender, avast, kaspersky e compagnia bella

Andrej Peribar

Sei stato tratto in inganno dall'articolo.
Il virus in questione è stato individuato durante un attacco ad un server linux, indagando hanno trovato varianti per gli altri due sistemi.
Inviato a Virustotal hanno visto che Virustotal riconosceva solo la variante per windows.

I sistemi operativi non centrano nulla.

Goose

Io non volevo travisare, non ho mai parlato di OS più sicuro di un altro, so bene quanto Linux sia molto più difficile da attaccare per via del suo tipo di sistema. Quello che voglio dire è che un virus una volta entrato nel sistema operativo viene trovato più facilmente su Windows che su una distro Linux. Come il virus dell’articolo, è stato già identificato da Windows, dagli altri due OS no.

IRNBNN

Ci sono anche tante persone che non capiscono l'ironia.

Andrej Peribar

Le persone sopravvalutano di tanto il loro senso dell’umorismo.

IRNBNN

dove si puo anche scherzare volendo

Andrej Peribar

Almeno formalmente siamo ancora su un blog di tecnologia.

IRNBNN

https://media0.giphy.com/me...
hai scatenato i pinguini con questo commento

Baz

chiaro... che se esegui cose a caso, senza conoscerne il significato e senza verificarne l'affidabilita', puoi beccarti qualsiasi cosa, ma questo avviene su ogni sistema operativo... che c'entra il discorso??
e le guide ci sono per tutti i sistemi operativi, dove magari ti dicono, installa questo coso per sistemare il problema x, o migliorare le performance, ecc...
mai viste robe del genere su windows?
quello che dicevo e' che su windows, normalmente l'uso del browser per scaricare software (e purtroppo molta gente non sa scaricare un software dal sito ufficiale), e' molto piu' diffuso rispetto a linux, perche' su windows lo store e' ancora poco usato e poco diffuso, su linux invece da sempre si usano i repo, e li c'e' tutto il software di cui hai bisogno.

Simone

Se l'utente esegue un comando che danneggia l'os non ci puoi fare nulla, cosa che ovviamente vale per tutti i sistemi operativi.
Che poi su Linux con sudo hai una un livello di attenzione in più... Con Windows invece devi eseguire cmd da root...

Andrej Peribar

Io non amo fare la guerra fra sistemi, ma hai davvero fatto l'esempio sbagliato.

La sicurezza di un sistema si giudica su come quel sistema è strutturato per filtrare una serie di attacchi di cui tu gestore sei ignaro.

Nulla è inviolabile se tu, autorizzi qualcosa ad entrare.

Windows solo da Windows Vista con UAC sta cercando (lentamente) di introdurre quella serie di ostacoli che provano a renderlo almeno mediamente sicuro.

Mediamente rispetto ovviamente ai suoi concorrenti commerciali (MacOS) e alle distribuzioni GNU/Linux.

La differenza è pratica ma viene dalla storia dei due sistemi.
I sistemi GNU/Linux nascono per stare e formare reti, quindi progettati per essere "client" in un sistema che può attaccarti.

Windows nasce come sistema off-line e poi giù di rimedi.

Ovviamente lo stesso motivo che rende windows radicato sui desktop è la stessa zavorra che lo fa mutare lentamente.

Simone

Su Linux tipicamente scarichi dei repository verificati, uno a uno (in alcuni os anche molto severamente).

Tipicamente è difficile che qualcuno riesca a caricare un malware su un repository, figuriamoci su un aggiornamento os.
Per questo il kernel si aggiorna come un software normale.
Se qualcosa va storto io con betterfs lancio in un attimo lo snapshot prima dell'update del kernel.

Aggiungici che Linux tipicamente ha 1/5 degli exploit.
L'ultimo serio è stato quello del bluetooth scoperto da Intel, che è stato patchato in una release per tutti i kernel fino alla 4.4.x
Ed era un exploit da poco.
Su Windows ci sono exploit che addirittura ti danni accesso a aree di memoria non autorizzate.
E li Defender non può fare assolutamente nulla...

Aggiungiamo che se uno vuole essere proprio sicuro, anche lato consumer esistono os incredibili (e estremamente utilizzabili) come Fedora Silverblue.
Sono sistemi operativi talmente sicuri che trovo anche difficile pensare che tipo di dalla possano avere. Salvo ovviamente qualcuno riesca a rompere un container o flatpack, sempre che comunque debba caricate un flatpak e fartelo installare..

Goose

Beh su Linux non è che ci voglia tanto, basta seguire una guida sbagliata online per scaricare un software da github, eseguire qualche linea di comando ed hai comunque software malevolo autorizzato da te stesso. Nessun OS è protetto, ciò che ho detto è che tra i 3 OS Windows è quello più preparato, poi per via di altri fattori sicuramente è quello meno sicuro.

Baz

diciamo che su windows e' la norma usare un antivirus, sugli altri sistemi no, perche' non ce ne e' mai stato il bisogno (e continua a non essercene).
sopratutto perche' windows ha introdotto uno store, solo di "recente" e ancora oggi non e' cosi' diffuso.
mac os lo conosco poco e niente, quindi non mi esprimo, ma linux e' sempre stato repository centrico, che e' ancora piu' controllato e sicuro di un normale store.
su linux la magggior parte degli utenti, difficilmente hanno bisogno di installare software presi da chissa' dove, nella maggior parte dei casi i software necessari, si trovano tutti nei repo, e i repo sono "chiusi", non si e' liberi di aggiungere cio' che si vuole, solo gli sviluppatori/manutentori della distro, che sono tutti TU (trusted user) possono farlo, e chiaramente questo garantisce una certa sicurezza sui pacchetti forniti (a meno che non venga hackerato direttamente il sito ufficiale, e i binari del software fornito, vengono cambiato con uno contenente un malware, per dire, qualcuno hackera il sito mozilla, cambiando i binari di firefox con dei binari contenenti un malware, in quel caso il repository che contiene firefox preso dal sito ufficiale mozilla, si ritroverebbe a scaricare un malware, ma sono casi estremamente rari, e sopratutto normalmente ci si accorge in pochissimo tempo e tutto viene bloccato).

Goose

Datemi del pazzo, ma secondo me Windows rispetto agli altri due OS è quello più preparato contro gli attacchi di virus e company, con continui aggiornamenti delle definizioni di Windows Defender. Attenzione però, con questo non voglio dire che Windows è l’OS più sicuro, perché sicuramente la maggior parte dei virus li trovi in quest’ultimo.

Comunque deve essere davvero difficile beccarsi questo virus, a meno che tu non sappia utilizzare del tutto un computer.

Il 2-in-1 nel 2021: la mia esperienza con Asus Vivobook Slate 13''

Recensione Asus VivoBook Pro X 14, OLED concreto!

Recensione Samsung Galaxy Book Pro 360, convertibile super sottile e leggero

Windows 11 disponibile da oggi: tutto ciò che bisogna sapere