SysJoker חוצה פלטפורמות תוקף את Windows, macOS ולינוקס

מומחי Intezer גילה דלת אחורית חדשה חוצת פלטפורמות SysJoker המשמשת נגד מכשירים ב-Windows, לינוקס ו-macOS כחלק ממסע פרסום של ריגול סייבר.

לפי חוקרים, התוכנה הזדונית פעילה לפחות מאז המחצית השנייה של 2021. התוכנה הזדונית התגלתה לראשונה בדצמבר 2021 במהלך התקפה על שרת אינטרנט מבוסס לינוקס בבעלות מוסד חינוכי ללא שם.

התוכנה הזדונית כתובה ב-C++ וכל גרסה מותאמת למערכת הפעלה ספציפית. למרות זאת, כל הווריאציות אינן מזוהות על ידי פתרונות האבטחה המוצגים ב סך הכל VirusTotal.

SysJoker מתחזה לעדכון מערכת ומייצר את ה-C שלו&שרת C על ידי פענוח מחרוזת שהתקבלה מקובץ טקסט שמתארח בו גוגל נהיגה. אם לשפוט לפי הקורבנות וההתנהגות של התוכנה הזדונית, אנו מאמינים ש-SysJoker משמש בהתקפות ממוקדות.אומרים אנליסטים.

דלת אחורית של SysJoker חוצת פלטפורמות

בווינדוס, SysJoker משתמש בטפטפת ברמה ראשונה בפורמט DLL, אשר לאחר מכן מבצע פקודות PowerShell ועושה את הפעולות הבאות: מקבל את קובץ SysJoker ZIP מה- GitHub מאגר, מחלץ אותו ל-C:\ProgramDataRecoverySystem, ומבצע את המטען. התוכנה הזדונית אינה פעילה במשך כשתי דקות לפני שהיא יוצרת ספרייה חדשה ומעתיקה את עצמה כ אינטל שירות ממשק משתמש משותף של גרפיקה (igfxCUIService.exe).

לאחר מכן, SysJoker תאסוף מידע על המכונית באמצעות Living off the Land (LOtL) פקודות. SysJoker משתמש בקבצי טקסט זמניים שונים כדי לאחסן תוצאות. קבצי טקסט אלה נמחקים מיד, נשמר כאובייקט JSON, ולאחר מכן מקודד ונכתב לקובץ microsoft_Windows.dll.נכתב בדוח.

לאחר איסוף הנתונים, התוכנה הזדונית תקבל דריסת רגל במערכת על ידי הוספת מפתח רישום חדש (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). השלב הבא הוא הקריאה הנ"ל לשרת הניהול, שמשתמש בקישור מקודד קשיח ל-Google Drive.

כאשר המידע שנאסף בשלבי ההדבקה הראשונים נשלח ל-C&שרת C, הוא מגיב עם אסימון ייחודי, שמשמש מאוחר יותר כמזהה של המכונה הנגועה. כמו כן, שרת הבקרה יכול להורות לדלת האחורית להתקין תוכנות זדוניות נוספות, לבצע פקודות ספציפיות במכשיר הנגוע, או למחוק את עצמו. יצוין ששתי הפונקציות האחרונות עדיין לא יושמו במלואן.

החוקרים כותבים שלגרסאות לינוקס ו-macOS אין טפטפת DLL, אך בדרך כלל בצע את אותן פעולות זדוניות במכשיר הנגוע.

דלת אחורית של SysJoker חוצת פלטפורמות

עד כה, התוכנה הזדונית אינה משויכת לאף קבוצת פריצה ספציפית, אבל אינטזר בטוח ש-SysJoker היא עבודה של צוות רציני, המטרה הסופית היא לאסוף נתונים ולנוע הצידה ברשת של הקורבן, מה שעלול להוביל בסופו של דבר להתקפת סחיטה בשלב הבא.

אולי יעניין אותך לדעת מה ה קפוא תוכנה זדונית מתקינה תוסף לדלת אחורית באתרי וורדפרס, וזה חָדָשׁ XLoader תוכנה זדונית גונבת אישורים מ-macOS ו-Windows.

הלגה סמית '

תמיד התעניינתי במדעי המחשב, במיוחד אבטחת נתונים והנושא, שנקרא בימינו "מדע נתונים", מאז שנות העשרה המוקדמות שלי. לפני שנכנסתי לצוות הסרת וירוסים כעורך ראשי, עבדתי כמומחה לאבטחת סייבר בכמה חברות, כולל אחד מקבלני אמזון. חוויה נוספת: יש לי ללמד באוניברסיטאות ארדן ורידינג.

השאר תגובה

אתר זה משתמש Akismet להפחית זבל. למד כיצד נתוני תגובתך מעובד.

כפתור חזרה למעלה