SysJoker חוצה פלטפורמות תוקף את Windows, macOS ולינוקס
מומחי Intezer גילה דלת אחורית חדשה חוצת פלטפורמות SysJoker המשמשת נגד מכשירים ב-Windows, לינוקס ו-macOS כחלק ממסע פרסום של ריגול סייבר.
לפי חוקרים, התוכנה הזדונית פעילה לפחות מאז המחצית השנייה של 2021. התוכנה הזדונית התגלתה לראשונה בדצמבר 2021 במהלך התקפה על שרת אינטרנט מבוסס לינוקס בבעלות מוסד חינוכי ללא שם.
התוכנה הזדונית כתובה ב-C++ וכל גרסה מותאמת למערכת הפעלה ספציפית. למרות זאת, כל הווריאציות אינן מזוהות על ידי פתרונות האבטחה המוצגים ב סך הכל VirusTotal.
בווינדוס, SysJoker משתמש בטפטפת ברמה ראשונה בפורמט DLL, אשר לאחר מכן מבצע פקודות PowerShell ועושה את הפעולות הבאות: מקבל את קובץ SysJoker ZIP מה- GitHub מאגר, מחלץ אותו ל-C:\ProgramDataRecoverySystem, ומבצע את המטען. התוכנה הזדונית אינה פעילה במשך כשתי דקות לפני שהיא יוצרת ספרייה חדשה ומעתיקה את עצמה כ אינטל שירות ממשק משתמש משותף של גרפיקה (igfxCUIService.exe).
לאחר איסוף הנתונים, התוכנה הזדונית תקבל דריסת רגל במערכת על ידי הוספת מפתח רישום חדש (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). השלב הבא הוא הקריאה הנ"ל לשרת הניהול, שמשתמש בקישור מקודד קשיח ל-Google Drive.
כאשר המידע שנאסף בשלבי ההדבקה הראשונים נשלח ל-C&שרת C, הוא מגיב עם אסימון ייחודי, שמשמש מאוחר יותר כמזהה של המכונה הנגועה. כמו כן, שרת הבקרה יכול להורות לדלת האחורית להתקין תוכנות זדוניות נוספות, לבצע פקודות ספציפיות במכשיר הנגוע, או למחוק את עצמו. יצוין ששתי הפונקציות האחרונות עדיין לא יושמו במלואן.
החוקרים כותבים שלגרסאות לינוקס ו-macOS אין טפטפת DLL, אך בדרך כלל בצע את אותן פעולות זדוניות במכשיר הנגוע.
אולי יעניין אותך לדעת מה ה קפוא תוכנה זדונית מתקינה תוסף לדלת אחורית באתרי וורדפרס, וזה חָדָשׁ XLoader תוכנה זדונית גונבת אישורים מ-macOS ו-Windows.
