Plattformübergreifende SysJoker-Backdoor-Angriffe auf Windows, macOS und Linux

Helga SmithJanuar 14, 2022Letztes Update Januar 15, 2022
188 1 Minute Lesezeit

Intezer-Experten entdeckt haben eine neue plattformübergreifende SysJoker-Hintertür, die gegen Geräte unter Windows verwendet wird, Linux und macOS im Rahmen einer Cyberspy-Kampagne.

Laut Forschern, Die Malware ist seit mindestens der zweiten Hälfte von aktiv 2021. Die Malware wurde erstmals im Dezember entdeckt 2021 während eines Angriffs auf einen Linux-basierten Webserver, der einer ungenannten Bildungseinrichtung gehört.

Die Malware ist in C++ geschrieben und jede Variante ist für ein bestimmtes Betriebssystem angepasst. jedoch, alle Varianten werden von den auf vorgestellten Sicherheitslösungen nicht erkannt VirusTotal.

SysJoker tarnt sich als Systemupdate und generiert seine C&C-Server durch Dekodierung einer Zeichenfolge, die von einer gehosteten Textdatei empfangen wurde Google Antrieb. Gemessen an der Viktimologie und dem Verhalten der Malware, Wir glauben, dass SysJoker bei gezielten Angriffen verwendet wird.Analysten sagen.

Plattformübergreifende SysJoker-Hintertür

Unter Windows, SysJoker verwendet einen Dropper der ersten Ebene im DLL-Format, die dann PowerShell-Befehle ausführt und Folgendes tut: Ruft die SysJoker-ZIP-Datei aus der GitHub Repository, extrahiert es nach C:\ProgramDataRecoverySystem, und führt die Nutzlast aus. Die Malware ist etwa zwei Minuten im Leerlauf, bevor sie ein neues Verzeichnis erstellt und sich selbst als kopiert Intel Graphics Common User Interface Service (igfxCUIService.exe).

Nachher, SysJoker sammelt Informationen über das Auto mit Living off the Land (LOTL) Befehle. SysJoker verwendet verschiedene temporäre Textdateien, um Ergebnisse zu speichern. Diese Textdateien werden umgehend gelöscht, als JSON-Objekt gespeichert, und dann codiert und in die Datei microsoft_Windows.dll geschrieben.lautet der Bericht.

Nach dem Sammeln der Daten, Die Malware kann im System Fuß fassen, indem sie einen neuen Registrierungsschlüssel hinzufügt (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Der nächste Schritt ist der bereits erwähnte Aufruf des Management Servers, die einen fest codierten Link zu Google Drive verwendet.

Wenn die während der ersten Infektionsstadien gesammelten Informationen an die C&C-Server, es antwortet mit einem eindeutigen Token, die später als Kennung des infizierten Rechners dient. Ebenfalls, Der Kontrollserver kann der Hintertür befehlen, zusätzliche Malware zu installieren, Ausführen bestimmter Befehle auf dem infizierten Gerät, oder selbst löschen. Es wird darauf hingewiesen, dass die letzten beiden Funktionen noch nicht vollständig implementiert wurden.

Die Forscher schreiben, dass die Linux- und macOS-Versionen keinen DLL-Dropper haben, führen aber im Allgemeinen die gleichen böswilligen Operationen auf dem infizierten Gerät aus.

Plattformübergreifende SysJoker-Hintertür

Bisher, Die Malware ist keiner bestimmten Hackergruppe zugeordnet, aber Intezer ist zuversichtlich, dass SysJoker das Werk eines seriösen Teams ist, Das ultimative Ziel ist es, Daten zu sammeln und sich im Netzwerk des Opfers seitwärts zu bewegen, was in der nächsten Phase schließlich zu einem Erpressungsangriff führen kann.

Vielleicht interessiert es Sie zu wissen, was Das Capoae Malware installiert ein Backdoor-Plugin auf WordPress-Seiten, und das Neu XLoader Malware stiehlt Anmeldeinformationen von macOS und Windows.

Schlagwörter
Helga SmithJanuar 14, 2022Letztes Update Januar 15, 2022
188 1 Minute Lesezeit

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"