El backdoor SysJoker multiplataforma ataca Windows, macOS y Linux

Helga Smithenero 14, 2022Última actualización: enero 15, 2022

187 1 minuto de lectura

Expertos en enterozer haber descubierto una nueva puerta trasera SysJoker multiplataforma que se usa contra dispositivos en Windows, Linux y macOS como parte de una campaña de ciberespionaje.

Según los investigadores, el malware ha estado activo desde al menos la segunda mitad de 2021. El malware se descubrió por primera vez en diciembre. 2021 durante un ataque a un servidor web basado en Linux propiedad de una institución educativa no identificada.

El malware está escrito en C++ y cada variante está adaptada para un sistema operativo específico. sin embargo, todas las variaciones no son detectadas por las soluciones de seguridad presentadas en VirusTotal.

SysJoker se hace pasar por una actualización del sistema y genera su C&servidor C decodificando una cadena recibida de un archivo de texto alojado en Google Conducir. A juzgar por la victimología y el comportamiento del malware, creemos que SysJoker se usa en ataques dirigidos.los analistas dicen.

Puerta trasera SysJoker multiplataforma

en ventanas, SysJoker usa un cuentagotas de primer nivel en formato DLL, que luego ejecuta los comandos de PowerShell y hace lo siguiente: Obtiene el archivo ZIP SysJoker de la GitHub repositorio, lo extrae a C:\Datos del programaSistema de recuperación, y ejecuta la carga útil. El malware está inactivo durante unos dos minutos antes de crear un nuevo directorio y copiarse a sí mismo como Intel Servicio de interfaz de usuario común de gráficos (igfxCUIService.exe).

Después, SysJoker recopilará información sobre el automóvil utilizando Living off the Land (mucho) comandos. SysJoker utiliza varios archivos de texto temporales para almacenar resultados. Estos archivos de texto se eliminan inmediatamente., guardado como un objeto JSON, y luego codificado y escrito en el archivo microsoft_Windows.dll.el informe dice.

Después de recopilar los datos, el malware se afianzará en el sistema al agregar una nueva clave de registro (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). El siguiente paso es la citada llamada al servidor de gestión., que utiliza un enlace codificado a Google Drive.

Cuando la información recopilada durante las primeras etapas de la infección se envía a la C&Servidor C, responde con un token único, que luego sirve como identificador de la máquina infectada. también, el servidor de control puede ordenar a la puerta trasera que instale malware adicional, ejecutar comandos específicos en el dispositivo infectado, o borrarse a sí mismo. Se observa que las dos últimas funciones aún no se han implementado completamente..

Los investigadores escriben que las versiones de Linux y macOS no tienen cuentagotas de DLL, pero generalmente realizan las mismas operaciones maliciosas en el dispositivo infectado.

Puerta trasera SysJoker multiplataforma

Hasta aquí, el malware no está asociado con ningún grupo de piratas informáticos específico, pero entero confía en que SysJoker es el trabajo de un equipo serio, cuyo objetivo final es recopilar datos y moverse lateralmente en la red de la víctima, lo que eventualmente puede conducir a un ataque de extorsión en la siguiente etapa.

Tal vez te interese saber qué los Capoae el malware instala un complemento de puerta trasera en los sitios de WordPress, y eso Nuevo cargador x malware roba credenciales de macOS y Windows.

Etiquetas

Helga Smithenero 14, 2022Última actualización: enero 15, 2022

187 1 minuto de lectura

El backdoor SysJoker multiplataforma ataca Windows, macOS y Linux

Expertos en enterozer haber descubierto una nueva puerta trasera SysJoker multiplataforma que se usa contra dispositivos en Windows, Linux y macOS como parte de una campaña de ciberespionaje.

Helga Smith

Deja una respuestaCancelar respuesta

Quitar el virus KAAA ransomware (+DECRIPTAR Archivos .file)

Eliminar el virus UAJS Ransomware (+DECRIPTAR archivos .uajs)

Quitar el virus UAZQ ransomware (+DECRIPTAR archivos .uazq)

Eliminar el virus VOOK Ransomware (+DECRIPTAR archivos .vook)

Quitar el virus LOOY Ransomware (+DECRIPTAR archivos .looy)

Quitar el virus KOOL Ransomware (+DECRIPTAR archivos .kool)

Quitar el virus NOOD ransomware (+DECRIPTAR archivos .nood)

Quitar el virus WIAW Ransomware (+DECRIPTAR archivos .wiaw)

Eliminar el virus WISZ Ransomware (+DECRIPTAR archivos .wisz)

Quitar el virus LKFR Ransomware (+DECRIPTAR archivos .lkfr)

Eliminar el virus LKHY Ransomware (+DECRIPTAR archivos .lkhy)

Eliminar el virus LDHY Ransomware (+DECRIPTAR archivos .ldhy)

Eliminar el virus KVIP Ransomware (+DECRIPTAR archivos .kvip)

Eliminar el virus CDCC Ransomware (+DECRIPTAR archivos .cdcc)

Quitar el virus CDXX Ransomware (+DECRIPTAR archivos .cdxx)

Expertos en enterozer haber descubierto una nueva puerta trasera SysJoker multiplataforma que se usa contra dispositivos en Windows, Linux y macOS como parte de una campaña de ciberespionaje.

Helga Smith

PatchWork Group infectó accidentalmente sus propios sistemas con el troyano Ragnatela

El grupo de hackers FIN8 utiliza el nuevo malware White Rabbit

Deja una respuestaCancelar respuesta

Publicaciones relacionadas

Nueva versión de Magniber Ransomware amenaza Windows 11 Usuarios

El extorsionador de buena voluntad obliga a las víctimas a hacer buenas obras

La botnet rusa Fronton puede hacer mucho más que ataques DDoS masivos

Microsoft advierte sobre el aumento de la actividad del malware XorDdos