عبر النظام الأساسي SysJoker مستتر يهاجم Windows, macOS و Linux
خبراء إنتيزر اكتشف باب خلفي SysJoker جديد عبر الأنظمة الأساسية يُستخدم ضد الأجهزة التي تعمل بنظام Windows, Linux وmacOS كجزء من حملة تجسس إلكتروني.
وفقا للباحثين, كانت البرامج الضارة نشطة منذ النصف الثاني من عام على الأقل 2021. تم اكتشاف البرمجيات الخبيثة لأول مرة في ديسمبر 2021 أثناء هجوم على خادم ويب يستند إلى Linux مملوك لمؤسسة تعليمية غير مسماة.
تمت كتابة البرامج الضارة بلغة C++ وتم تكييف كل متغير منها ليناسب نظام تشغيل معين. لكن, لم يتم اكتشاف جميع الاختلافات بواسطة الحلول الأمنية المقدمة فيروس توتال.
على ويندوز, يستخدم SysJoker قطارة من المستوى الأول بتنسيق DLL, والذي يقوم بعد ذلك بتنفيذ أوامر PowerShell ويقوم بما يلي: يحصل على ملف SysJoker ZIP من ملف جيثب مخزن, يستخرجه إلى C:\بيانات البرنامجنظام الاسترداد, وينفذ الحمولة. تظل البرامج الضارة في وضع الخمول لمدة دقيقتين تقريبًا قبل أن تقوم بإنشاء دليل جديد ونسخ نفسها باسم شركة انتل خدمة واجهة المستخدم الرسومية المشتركة (igfxCUIService.exe).
بعد جمع البيانات, ستحصل البرامج الضارة على موطئ قدم في النظام عن طريق إضافة مفتاح تسجيل جديد (HKEY_CURRENT_USERالبرمجياتمايكروسوفتويندوزCurrentVersionRun). الخطوة التالية هي الاتصال المذكور أعلاه بخادم الإدارة, والذي يستخدم رابطًا مضمنًا إلى Google Drive.
عندما يتم إرسال المعلومات التي تم جمعها خلال المراحل الأولى من الإصابة إلى C&خادم ج, يستجيب برمز فريد, والذي يعمل لاحقًا كمعرف للجهاز المصاب. أيضًا, يمكن لخادم التحكم أن يأمر الباب الخلفي بتثبيت برامج ضارة إضافية, تنفيذ أوامر محددة على الجهاز المصاب, أو حذف نفسه. ويلاحظ أن الوظيفتين الأخيرتين لم يتم تنفيذهما بالكامل بعد.
يكتب الباحثون أن إصدارات Linux وmacOS لا تحتوي على قطارة DLL, ولكن بشكل عام يتم تنفيذ نفس العمليات الضارة على الجهاز المصاب.
قد تكون مهتمًا بمعرفة ماذا ال كابو تقوم البرامج الضارة بتثبيت مكون إضافي مستتر على مواقع WordPress, وذلك جديد XLloader تسرق البرامج الضارة بيانات الاعتماد من نظامي التشغيل macOS وWindows.
