La backdoor SysJoker multipiattaforma attacca Windows, macOS e Linux

Esperti di Intezer ho scoperto una nuova backdoor SysJoker multipiattaforma che viene utilizzata contro i dispositivi su Windows, Linux e macOS come parte di una campagna di cyberspy.

Secondo i ricercatori, il malware è attivo almeno dalla seconda metà di 2021. Il malware è stato scoperto per la prima volta a dicembre 2021 durante un attacco a un server Web basato su Linux di proprietà di un istituto di istruzione senza nome.

Il malware è scritto in C++ e ogni variante è adattata per un sistema operativo specifico. però, tutte le variazioni non vengono rilevate dalle soluzioni di sicurezza presentate su VirusTotale.

SysJoker si maschera come un aggiornamento di sistema e genera il suo C&C server decodificando una stringa ricevuta da un file di testo ospitato su Google Unità. A giudicare dalla vittimologia e dal comportamento del malware, riteniamo che SysJoker sia utilizzato negli attacchi mirati.dicono gli analisti.

Backdoor SysJoker multipiattaforma

Su Windows, SysJoker utilizza un contagocce di primo livello in formato DLL, che quindi esegue i comandi di PowerShell e fa quanto segue: Ottiene il file ZIP SysJoker da GitHub deposito, lo estrae a C:\ProgramDataRecoverySystem, ed esegue il carico utile. Il malware è inattivo per circa due minuti prima di creare una nuova directory e copiarsi come Intel Servizio di interfaccia utente grafica comune (igfxCUIService.exe).

Dopo, SysJoker raccoglierà informazioni sull'auto utilizzando Living off the Land (LOtL) comandi. SysJoker utilizza vari file di testo temporanei per memorizzare i risultati. Questi file di testo vengono immediatamente eliminati, salvato come oggetto JSON, e quindi codificato e scritto nel file microsoft_Windows.dll.si legge nel rapporto.

Dopo aver raccolto i dati, il malware prenderà piede nel sistema aggiungendo una nuova chiave di registro (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Il passaggio successivo è la suddetta chiamata al server di gestione, che utilizza un collegamento hardcoded a Google Drive.

Quando le informazioni raccolte durante le prime fasi dell'infezione vengono inviate al C&C server, risponde con un token univoco, che in seguito funge da identificatore della macchina infetta. Anche, il server di controllo può ordinare alla backdoor di installare malware aggiuntivo, eseguire comandi specifici sul dispositivo infetto, o cancellarsi. Si segnala che le ultime due funzioni non sono state ancora completamente implementate.

I ricercatori scrivono che le versioni Linux e macOS non hanno un contagocce DLL, ma generalmente eseguono le stesse operazioni dannose sul dispositivo infetto.

Backdoor SysJoker multipiattaforma

Finora, il malware non è associato a nessun gruppo di hacker specifico, ma Intezer è fiducioso che SysJoker sia il lavoro di una squadra seria, il cui obiettivo finale è raccogliere dati e spostarsi lateralmente nella rete della vittima, che alla fine può portare a un attacco di estorsione nella fase successiva.

Potresti essere interessato a sapere cosa Il Capoae il malware installa un plug-in backdoor sui siti WordPress, e quello Nuovo XLloader il malware ruba le credenziali da macOS e Windows.

Helga Smith

Sono sempre stato interessato all'informatica, in particolare la sicurezza dei dati e il tema, che si chiama oggi "scienza dei dati", dalla mia prima adolescenza. Prima di entrare nel team di rimozione virus come caporedattore, Ho lavorato come esperto di sicurezza informatica in diverse aziende, incluso uno degli appaltatori di Amazon. Un'altra esperienza: Ho l'insegnamento nelle università di Arden e Reading.

lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come il tuo commento dati vengono elaborati.

Pulsante Torna in alto