Backdoor SysJoker napříč platformami útočí na Windows, macOS a Linux
Odborníci na Intezer objevili nový multiplatformní backdoor SysJoker, který se používá proti zařízením na Windows, Linux a macOS jako součást kyberšpionážní kampaně.
Podle výzkumníků, malware je aktivní minimálně od druhé poloviny roku 2021. Malware byl poprvé objeven v prosinci 2021 při útoku na linuxový webový server vlastněný nejmenovanou vzdělávací institucí.
Malware je napsán v C++ a každá varianta je přizpůsobena pro konkrétní operační systém. nicméně, všechny varianty nejsou detekovány bezpečnostními řešeními uvedenými na Virus Celkem.
V systému Windows, SysJoker používá kapátko první úrovně ve formátu DLL, který poté provede příkazy PowerShellu a provede následující: Získá soubor ZIP SysJoker z GitHub úložiště, extrahuje to do C:\ProgramDataRecoverySystem, a provede užitečné zatížení. Malware je nečinný asi dvě minuty, než vytvoří nový adresář a zkopíruje se jako Intel Služba grafického společného uživatelského rozhraní (igfxCUIService.exe).
Po sběru dat, malware se v systému uchytí přidáním nového klíče registru (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Dalším krokem je výše uvedené volání na management server, který používá pevně zakódovaný odkaz na Disk Google.
Když jsou informace shromážděné během prvních fází infekce odeslány do C&C server, odpoví jedinečným tokenem, který později slouží jako identifikátor infikovaného stroje. Taky, řídicí server může zadním vrátkům nařídit instalaci dalšího malwaru, provádět konkrétní příkazy na infikovaném zařízení, nebo se sám vymaže. Je třeba poznamenat, že poslední dvě funkce ještě nebyly plně implementovány.
Vědci píší, že verze pro Linux a macOS nemají kapátko DLL, ale obecně provádějí stejné škodlivé operace na infikovaném zařízení.
Možná vás bude zajímat co The Capoae malware nainstaluje na weby WordPress backdoor plugin, a to Nový XLloader malware krade přihlašovací údaje z macOS a Windows.