クロスプラットフォームのSysJokerバックドアがWindowsを攻撃, macOSとLinux

インテザーの専門家 発見した Windows上のデバイスに対して使用される新しいクロスプラットフォームのSysJokerバックドア, サイバースパイキャンペーンの一環としてのLinuxとmacOS.

研究者によると, マルウェアは、少なくとも後半からアクティブになっています 2021. マルウェアは12月に最初に発見されました 2021 名前のない教育機関が所有するLinuxベースのWebサーバーへの攻撃中.

マルウェアはC ++で記述されており、各亜種は特定のオペレーティングシステムに適合しています。. しかしながら, に提示されているセキュリティソリューションでは、すべてのバリエーションが検出されるわけではありません。 VirusTotal.

Windowsの場合, SysJokerは、DLL形式の第1レベルのドロッパーを使用します, 次に、PowerShellコマンドを実行し、次のことを行います: からSysJokerZIPファイルを取得します GitHub リポジトリ, それをCに抽出します:\ProgramData RecoverySystem , ペイロードを実行します. マルウェアは、新しいディレクトリを作成して自分自身を次のようにコピーする前に、約2分間アイドル状態になります。 インテル グラフィックス共通ユーザーインターフェイスサービス (igfxCUIService.exe).

データ収集後, マルウェアは、新しいレジストリキーを追加することにより、システムに足場を築きます (HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run). 次のステップは、前述の管理サーバーへの呼び出しです。, Googleドライブへのハードコードされたリンクを使用します.

感染の初期段階で収集された情報がCに送信されたとき&Cサーバー, 一意のトークンで応答します, 後で感染したマシンの識別子として機能します. さらに, コントロールサーバーは、バックドアに追加のマルウェアをインストールするように命令できます, 感染したデバイスで特定のコマンドを実行する, または自分自身を削除します. 最後の2つの機能はまだ完全には実装されていないことに注意してください.

研究者は、LinuxとmacOSのバージョンにはDLLドロッパーがないと書いています, ただし、通常、感染したデバイスで同じ悪意のある操作を実行します.

あなたは何を知りたいかもしれません ザ・ カポエ マルウェアはWordPressサイトにバックドアプラグインをインストールします, そしてそれ 新しい XLoader マルウェアはmacOSとWindowsから資格情報を盗みます.