Plattformübergreifende SysJoker-Backdoor-Angriffe auf Windows, macOS und Linux

Helga SmithJanuar 14, 2022Letztes Update Januar 15, 2022

187 1 Minute Lesezeit

Intezer-Experten entdeckt haben eine neue plattformübergreifende SysJoker-Hintertür, die gegen Geräte unter Windows verwendet wird, Linux und macOS im Rahmen einer Cyberspy-Kampagne.

Laut Forschern, Die Malware ist seit mindestens der zweiten Hälfte von aktiv 2021. Die Malware wurde erstmals im Dezember entdeckt 2021 während eines Angriffs auf einen Linux-basierten Webserver, der einer ungenannten Bildungseinrichtung gehört.

Die Malware ist in C++ geschrieben und jede Variante ist für ein bestimmtes Betriebssystem angepasst. jedoch, alle Varianten werden von den auf vorgestellten Sicherheitslösungen nicht erkannt VirusTotal.

SysJoker tarnt sich als Systemupdate und generiert seine C&C-Server durch Dekodierung einer Zeichenfolge, die von einer gehosteten Textdatei empfangen wurde Google Antrieb. Gemessen an der Viktimologie und dem Verhalten der Malware, Wir glauben, dass SysJoker bei gezielten Angriffen verwendet wird.Analysten sagen.

Plattformübergreifende SysJoker-Hintertür

Unter Windows, SysJoker verwendet einen Dropper der ersten Ebene im DLL-Format, die dann PowerShell-Befehle ausführt und Folgendes tut: Ruft die SysJoker-ZIP-Datei aus der GitHub Repository, extrahiert es nach C:\ProgramDataRecoverySystem, und führt die Nutzlast aus. Die Malware ist etwa zwei Minuten im Leerlauf, bevor sie ein neues Verzeichnis erstellt und sich selbst als kopiert Intel Graphics Common User Interface Service (igfxCUIService.exe).

Nachher, SysJoker sammelt Informationen über das Auto mit Living off the Land (LOTL) Befehle. SysJoker verwendet verschiedene temporäre Textdateien, um Ergebnisse zu speichern. Diese Textdateien werden umgehend gelöscht, als JSON-Objekt gespeichert, und dann codiert und in die Datei microsoft_Windows.dll geschrieben.lautet der Bericht.

Nach dem Sammeln der Daten, Die Malware kann im System Fuß fassen, indem sie einen neuen Registrierungsschlüssel hinzufügt (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Der nächste Schritt ist der bereits erwähnte Aufruf des Management Servers, die einen fest codierten Link zu Google Drive verwendet.

Wenn die während der ersten Infektionsstadien gesammelten Informationen an die C&C-Server, es antwortet mit einem eindeutigen Token, die später als Kennung des infizierten Rechners dient. Ebenfalls, Der Kontrollserver kann der Hintertür befehlen, zusätzliche Malware zu installieren, Ausführen bestimmter Befehle auf dem infizierten Gerät, oder selbst löschen. Es wird darauf hingewiesen, dass die letzten beiden Funktionen noch nicht vollständig implementiert wurden.

Die Forscher schreiben, dass die Linux- und macOS-Versionen keinen DLL-Dropper haben, führen aber im Allgemeinen die gleichen böswilligen Operationen auf dem infizierten Gerät aus.

Plattformübergreifende SysJoker-Hintertür

Bisher, Die Malware ist keiner bestimmten Hackergruppe zugeordnet, aber Intezer ist zuversichtlich, dass SysJoker das Werk eines seriösen Teams ist, Das ultimative Ziel ist es, Daten zu sammeln und sich im Netzwerk des Opfers seitwärts zu bewegen, was in der nächsten Phase schließlich zu einem Erpressungsangriff führen kann.

Vielleicht interessiert es Sie zu wissen, was Das Capoae Malware installiert ein Backdoor-Plugin auf WordPress-Seiten, und das Neu XLoader Malware stiehlt Anmeldeinformationen von macOS und Windows.

Schlagwörter

Helga SmithJanuar 14, 2022Letztes Update Januar 15, 2022

187 1 Minute Lesezeit

Plattformübergreifende SysJoker-Backdoor-Angriffe auf Windows, macOS und Linux

Intezer-Experten entdeckt haben eine neue plattformübergreifende SysJoker-Hintertür, die gegen Geräte unter Windows verwendet wird, Linux und macOS im Rahmen einer Cyberspy-Kampagne.

Helga Smith

Hinterlasse eine AntwortAntwort verwerfen

Entfernen Sie den KAAA-Ransomware-Virus (+.file-Dateien entschlüsseln)

Entfernen Sie den UAJS-Ransomware-Virus (+.uajs-Dateien entschlüsseln)

Entfernen Sie den UAZQ-Ransomware-Virus (+.uazq-Dateien entschlüsseln)

Entfernen Sie den VOOK-Ransomware-Virus (+.vook-Dateien entschlüsseln)

Entfernen Sie den LOOY-Ransomware-Virus (+.looy-Dateien entschlüsseln)

Entfernen Sie den KOOL-Ransomware-Virus (+.kool-Dateien entschlüsseln)

Entfernen Sie den NOOD-Ransomware-Virus (+.nood-Dateien entschlüsseln)

Entfernen Sie den WIAW-Ransomware-Virus (+.wiaw-Dateien entschlüsseln)

Entfernen Sie den WISZ-Ransomware-Virus (+.wisz-Dateien entschlüsseln)

Entfernen Sie den LKFR-Ransomware-Virus (+.lkfr-Dateien entschlüsseln)

Entfernen Sie den LKHY-Ransomware-Virus (+.lkhy-Dateien entschlüsseln)

Entfernen Sie den LDHY-Ransomware-Virus (+.ldhy-Dateien entschlüsseln)

Entfernen Sie den KVIP-Ransomware-Virus (+.kvip-Dateien entschlüsseln)

Entfernen Sie den CDCC-Ransomware-Virus (+.cdcc-Dateien entschlüsseln)

Entfernen Sie den CDXX-Ransomware-Virus (+.cdxx-Dateien entschlüsseln)

Intezer-Experten entdeckt haben eine neue plattformübergreifende SysJoker-Hintertür, die gegen Geräte unter Windows verwendet wird, Linux und macOS im Rahmen einer Cyberspy-Kampagne.

Helga Smith

PatchWork Group infizierte versehentlich ihre eigenen Systeme mit dem Ragnatela-Trojaner

Die FIN8-Hackergruppe verwendet neue White Rabbit-Malware

Hinterlasse eine AntwortAntwort verwerfen

Ähnliche Artikel

Neue Version von Magniber Ransomware bedroht Windows 11 Benutzer

Erpresser des guten Willens zwingt Opfer zu guten Taten

Das russische Fronton-Botnetz kann viel mehr als massive DDoS-Angriffe

Microsoft warnt vor erhöhter XorDdos-Malware-Aktivität