El backdoor SysJoker multiplataforma ataca Windows, macOS y Linux

Helga Smithenero 14, 2022Última actualización: enero 15, 2022
188 1 minuto de lectura

Expertos en enterozer haber descubierto una nueva puerta trasera SysJoker multiplataforma que se usa contra dispositivos en Windows, Linux y macOS como parte de una campaña de ciberespionaje.

Según los investigadores, el malware ha estado activo desde al menos la segunda mitad de 2021. El malware se descubrió por primera vez en diciembre. 2021 durante un ataque a un servidor web basado en Linux propiedad de una institución educativa no identificada.

El malware está escrito en C++ y cada variante está adaptada para un sistema operativo específico. sin embargo, todas las variaciones no son detectadas por las soluciones de seguridad presentadas en VirusTotal.

SysJoker se hace pasar por una actualización del sistema y genera su C&servidor C decodificando una cadena recibida de un archivo de texto alojado en Google Conducir. A juzgar por la victimología y el comportamiento del malware, creemos que SysJoker se usa en ataques dirigidos.los analistas dicen.

Puerta trasera SysJoker multiplataforma

en ventanas, SysJoker usa un cuentagotas de primer nivel en formato DLL, que luego ejecuta los comandos de PowerShell y hace lo siguiente: Obtiene el archivo ZIP SysJoker de la GitHub repositorio, lo extrae a C:\Datos del programaSistema de recuperación, y ejecuta la carga útil. El malware está inactivo durante unos dos minutos antes de crear un nuevo directorio y copiarse a sí mismo como Intel Servicio de interfaz de usuario común de gráficos (igfxCUIService.exe).

Después, SysJoker recopilará información sobre el automóvil utilizando Living off the Land (mucho) comandos. SysJoker utiliza varios archivos de texto temporales para almacenar resultados. Estos archivos de texto se eliminan inmediatamente., guardado como un objeto JSON, y luego codificado y escrito en el archivo microsoft_Windows.dll.el informe dice.

Después de recopilar los datos, el malware se afianzará en el sistema al agregar una nueva clave de registro (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). El siguiente paso es la citada llamada al servidor de gestión., que utiliza un enlace codificado a Google Drive.

Cuando la información recopilada durante las primeras etapas de la infección se envía a la C&Servidor C, responde con un token único, que luego sirve como identificador de la máquina infectada. también, el servidor de control puede ordenar a la puerta trasera que instale malware adicional, ejecutar comandos específicos en el dispositivo infectado, o borrarse a sí mismo. Se observa que las dos últimas funciones aún no se han implementado completamente..

Los investigadores escriben que las versiones de Linux y macOS no tienen cuentagotas de DLL, pero generalmente realizan las mismas operaciones maliciosas en el dispositivo infectado.

Puerta trasera SysJoker multiplataforma

Hasta aquí, el malware no está asociado con ningún grupo de piratas informáticos específico, pero entero confía en que SysJoker es el trabajo de un equipo serio, cuyo objetivo final es recopilar datos y moverse lateralmente en la red de la víctima, lo que eventualmente puede conducir a un ataque de extorsión en la siguiente etapa.

Tal vez te interese saber qué los Capoae el malware instala un complemento de puerta trasera en los sitios de WordPress, y eso Nuevo cargador x malware roba credenciales de macOS y Windows.

Etiquetas
Helga Smithenero 14, 2022Última actualización: enero 15, 2022
188 1 minuto de lectura

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba