Backdoor SysJoker napříč platformami útočí na Windows, macOS a Linux

Odborníci na Intezer objevili nový multiplatformní backdoor SysJoker, který se používá proti zařízením na Windows, Linux a macOS jako součást kyberšpionážní kampaně.

Podle výzkumníků, malware je aktivní minimálně od druhé poloviny roku 2021. Malware byl poprvé objeven v prosinci 2021 při útoku na linuxový webový server vlastněný nejmenovanou vzdělávací institucí.

Malware je napsán v C++ a každá varianta je přizpůsobena pro konkrétní operační systém. nicméně, všechny varianty nejsou detekovány bezpečnostními řešeními uvedenými na Virus Celkem.

SysJoker maskuje se jako aktualizace systému a generuje svůj C&C server dekódováním řetězce přijatého z textového souboru hostovaného na Google Řídit. Soudě podle viktimologie a chování malwaru, věříme, že SysJoker se používá při cílených útocích.říkají analytici.

Backdoor SysJoker pro více platforem

V systému Windows, SysJoker používá kapátko první úrovně ve formátu DLL, který poté provede příkazy PowerShellu a provede následující: Získá soubor ZIP SysJoker z GitHub úložiště, extrahuje to do C:\ProgramDataRecoverySystem, a provede užitečné zatížení. Malware je nečinný asi dvě minuty, než vytvoří nový adresář a zkopíruje se jako Intel Služba grafického společného uživatelského rozhraní (igfxCUIService.exe).

Později, SysJoker bude shromažďovat informace o autě pomocí Living off the Land (LOtL) příkazy. SysJoker používá k ukládání výsledků různé dočasné textové soubory. Tyto textové soubory jsou okamžitě odstraněny, uložen jako objekt JSON, a poté zakódován a zapsán do souboru microsoft_Windows.dll.zpráva zní.

Po sběru dat, malware se v systému uchytí přidáním nového klíče registru (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Dalším krokem je výše uvedené volání na management server, který používá pevně zakódovaný odkaz na Disk Google.

Když jsou informace shromážděné během prvních fází infekce odeslány do C&C server, odpoví jedinečným tokenem, který později slouží jako identifikátor infikovaného stroje. Taky, řídicí server může zadním vrátkům nařídit instalaci dalšího malwaru, provádět konkrétní příkazy na infikovaném zařízení, nebo se sám vymaže. Je třeba poznamenat, že poslední dvě funkce ještě nebyly plně implementovány.

Vědci píší, že verze pro Linux a macOS nemají kapátko DLL, ale obecně provádějí stejné škodlivé operace na infikovaném zařízení.

Backdoor SysJoker pro více platforem

Zatím, malware není spojen s žádnou konkrétní hackerskou skupinou, ale Intezer je přesvědčen, že SysJoker je dílem seriózního týmu, jehož konečným cílem je shromažďovat data a pohybovat se v síti oběti stranou, což může v další fázi nakonec vést k vyděračskému útoku.

Možná vás bude zajímat co The Capoae malware nainstaluje na weby WordPress backdoor plugin, a to Nový XLloader malware krade přihlašovací údaje z macOS a Windows.

Helga Smith

Vždy mě zajímaly počítačové vědy, zejména zabezpečení dat a téma, kterému se dnes říká "datová věda", od mých raných dospívajících. Před příchodem do týmu pro odstranění virů jako šéfredaktor, Pracoval jsem jako odborník na kybernetickou bezpečnost v několika společnostech, včetně jednoho z dodavatelů Amazonu. Další zkušenost: Mám výuku na univerzitách Arden a Reading.

zanechte odpověď

Tato stránka používá Akismet snížit spam. Přečtěte si, jak se váš komentář údaje zpracovávány.

Tlačítko Zpět nahoru