Monikäyttöinen SysJoker-takaovi hyökkää Windowsiin, macOS ja Linux
Intezerin asiantuntijat ovat löytäneet uusi cross-platform SysJoker-takaovi, jota käytetään Windows-laitteita vastaan, Linux ja macOS osana kybervakoilukampanjaa.
Tutkijoiden mukaan, haittaohjelma on ollut aktiivinen ainakin vuoden toisesta puoliskosta lähtien 2021. Haittaohjelma löydettiin ensimmäisen kerran joulukuussa 2021 hyökkäyksen aikana nimettömän oppilaitoksen omistamaa Linux-pohjaista verkkopalvelinta vastaan.
Haittaohjelma on kirjoitettu C++:lla ja jokainen versio on mukautettu tietylle käyttöjärjestelmälle. kuitenkin, Esitellyt tietoturvaratkaisut eivät tunnista kaikkia muunnelmia VirusTotal.
Windowsissa, SysJoker käyttää ensimmäisen tason dropperia DLL-muodossa, joka sitten suorittaa PowerShell-komennot ja tekee seuraavaa: Hakee SysJoker ZIP-tiedoston GitHub arkisto, purkaa sen C:ksi:\ProgramDataRecoverySystem, ja suorittaa hyötykuorman. Haittaohjelma on käyttämättömänä noin kaksi minuuttia ennen kuin se luo uuden hakemiston ja kopioi itsensä nimellä Intel Graphics Common User Interface Service (igfxCUIService.exe).
Tietojen keräämisen jälkeen, haittaohjelmat saavat jalansijaa järjestelmässä lisäämällä uuden rekisteriavaimen (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Seuraava vaihe on edellä mainittu puhelu hallintapalvelimelle, joka käyttää kovakoodattua linkkiä Google Driveen.
Kun tartunnan ensimmäisten vaiheiden aikana kerätyt tiedot lähetetään C&C-palvelin, se vastaa ainutlaatuisella tunnuksella, joka toimii myöhemmin tartunnan saaneen koneen tunnisteena. Myös, ohjauspalvelin voi määrätä takaoven asentamaan lisää haittaohjelmia, suorittaa tiettyjä komentoja tartunnan saaneessa laitteessa, tai poistaa itsensä. On huomattava, että kahta viimeistä toimintoa ei ole vielä täysin toteutettu.
Tutkijat kirjoittavat, että Linux- ja macOS-versioissa ei ole DLL-pippuria, mutta yleensä suorittaa samat haitalliset toiminnot tartunnan saaneelle laitteelle.
Saatat olla kiinnostunut tietämään mitä The Capoae haittaohjelma asentaa takaoven laajennuksen WordPress-sivustoille, ja tuo Uusi XLoader haittaohjelma varastaa tunnistetiedot macOS:stä ja Windowsista.