La porte dérobée SysJoker multiplateforme attaque Windows, macOS et Linux

Helga Smithjanvier 14, 2022Dernière mise à jour: janvier 15, 2022

187 Temps de lecture 1 minute

Experts Intezer a découvert une nouvelle porte dérobée SysJoker multiplateforme qui est utilisée contre les appareils sous Windows, Linux et macOS dans le cadre d'une campagne de cyberespionnage.

Selon les chercheurs, le logiciel malveillant est actif depuis au moins la seconde moitié de 2021. Le malware a été découvert pour la première fois en décembre 2021 lors d'une attaque contre un serveur Web basé sur Linux appartenant à un établissement d'enseignement anonyme.

Le malware est écrit en C++ et chaque variante est adaptée à un système d'exploitation spécifique. toutefois, toutes les variations ne sont pas détectées par les solutions de sécurité présentées sur VirusTotal.

SysJokerComment se fait passer pour une mise à jour du système et génère son C&serveur C en décodant une chaîne reçue d'un fichier texte hébergé sur Google Conduire. À en juger par la victimologie et le comportement du malware, nous pensons que SysJoker est utilisé dans des attaques ciblées.disent les analystes.

Porte dérobée SysJoker multiplateforme

Sous Windows, SysJoker utilise un dropper de premier niveau au format DLL, qui exécute ensuite les commandes PowerShell et effectue les opérations suivantes: Obtient le fichier ZIP SysJoker à partir du GitHub dépôt, l'extrait en C:\ProgramDataRecoverySystem, et exécute la charge utile. Le logiciel malveillant reste inactif pendant environ deux minutes avant de créer un nouveau répertoire et de se copier en tant que Intelligence Service d'interface utilisateur graphique commune (igfxCUIService.exe).

Après, SysJoker collectera des informations sur la voiture en utilisant Living off the Land (LOtL) commandes. SysJoker utilise divers fichiers texte temporaires pour stocker les résultats. Ces fichiers texte sont immédiatement supprimés, enregistré en tant qu'objet JSON, puis encodé et écrit dans le fichier microsoft_Windows.dll.le rapport lit.

Après avoir collecté les données, le logiciel malveillant prendra pied dans le système en ajoutant une nouvelle clé de registre (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). L'étape suivante est l'appel susmentionné au serveur de gestion, qui utilise un lien codé en dur vers Google Drive.

Lorsque les informations recueillies lors des premiers stades de l'infection sont transmises au C&serveur C, il répond avec un jeton unique, qui sert plus tard d'identifiant de la machine infectée. Également, le serveur de contrôle peut ordonner à la porte dérobée d'installer des logiciels malveillants supplémentaires, exécuter des commandes spécifiques sur l'appareil infecté, ou se supprimer. Il est à noter que les deux dernières fonctions n'ont pas encore été pleinement mises en œuvre.

Les chercheurs écrivent que les versions Linux et macOS n'ont pas de compte-gouttes DLL, mais effectuent généralement les mêmes opérations malveillantes sur l'appareil infecté.

Porte dérobée SysJoker multiplateforme

Jusque là, le logiciel malveillant n'est associé à aucun groupe de piratage spécifique, mais Intezer est convaincu que SysJoker est le travail d'une équipe sérieuse, dont le but ultime est de collecter des données et de se déplacer latéralement dans le réseau de la victime, qui peut éventuellement conduire à une attaque d'extorsion à l'étape suivante.

Vous pourriez être intéressé de savoir ce que le Capoae un malware installe un plugin de porte dérobée sur les sites WordPress, et cela Nouveau XLoader les logiciels malveillants volent les informations d'identification de macOS et Windows.

Mots clés

Helga Smithjanvier 14, 2022Dernière mise à jour: janvier 15, 2022

187 Temps de lecture 1 minute

La porte dérobée SysJoker multiplateforme attaque Windows, macOS et Linux

Experts Intezer a découvert une nouvelle porte dérobée SysJoker multiplateforme qui est utilisée contre les appareils sous Windows, Linux et macOS dans le cadre d'une campagne de cyberespionnage.

Helga Smith

Laisser un commentaireAnnuler la réponse

Supprimer le virus KAAA Ransomware (+Fichiers DECRYPT .file)

Supprimer le virus Ransomware UAJS (+DÉCRYPTER les fichiers .uajs)

Supprimer le virus UAZQ Ransomware (+DÉCRYPTER les fichiers .uazq)

Supprimer le virus VOOK Ransomware (+DÉCRYPTER les fichiers .vook)

Supprimer le virus LOOY Ransomware (+DÉCRYPTER les fichiers .looy)

Supprimer le virus KOOL Ransomware (+DÉCRYPTER les fichiers .kool)

Supprimer le virus NOOD Ransomware (+DÉCRYPTER les fichiers .nood)

Supprimer le virus WIAW Ransomware (+DÉCRYPTER les fichiers .wiaw)

Supprimer le virus WISZ Ransomware (+DÉCRYPTER les fichiers .wisz)

Supprimer le virus LKFR Ransomware (+DÉCRYPTER les fichiers .lkfr)

Supprimer le virus LKHY Ransomware (+DÉCRYPTER les fichiers .lkhy)

Supprimer le virus LDHY Ransomware (+DÉCRYPTER les fichiers .ldhy)

Supprimer le virus KVIP Ransomware (+DÉCRYPTER les fichiers .kvip)

Supprimer le virus CDCC Ransomware (+DÉCRYPTER les fichiers .cdcc)

Supprimer le virus CDXX Ransomware (+DÉCRYPTER les fichiers .cdxx)

Experts Intezer a découvert une nouvelle porte dérobée SysJoker multiplateforme qui est utilisée contre les appareils sous Windows, Linux et macOS dans le cadre d'une campagne de cyberespionnage.

Helga Smith

PatchWork Group a accidentellement infecté ses propres systèmes avec le cheval de Troie Ragnatela

Le groupe de hackers FIN8 utilise le nouveau malware White Rabbit

Laisser un commentaireAnnuler la réponse

Articles similaires

La nouvelle version de Magniber Ransomware menace Windows 11 Utilisateurs

Un extorqueur de bonne volonté oblige les victimes à de bonnes actions

Le botnet russe Fronton peut faire bien plus que des attaques DDoS massives

Microsoft met en garde contre l'augmentation de l'activité des logiciels malveillants XorDdos