Backdoor SysJoker multiplataforma ataca Windows, macOS e Linux

Helga Smithjaneiro 14, 2022Última Actualização janeiro 15, 2022
187 lido 1 minuto

Especialistas da Intezer ter descoberto um novo backdoor SysJoker multiplataforma que é usado contra dispositivos no Windows, Linux e macOS como parte de uma campanha de espionagem cibernética.

Segundo pesquisadores, o malware está ativo desde pelo menos a segunda metade do 2021. O malware foi descoberto pela primeira vez em dezembro 2021 durante um ataque em um servidor web baseado em Linux de propriedade de uma instituição educacional sem nome.

O malware é escrito em C++ e cada variante é adaptada para um sistema operacional específico. Contudo, todas as variações não são detectadas pelas soluções de segurança apresentadas VirusTotal.

SysJokerGenericName se disfarça como uma atualização do sistema e gera seu C&servidor C decodificando uma string recebida de um arquivo de texto hospedado em Google Dirigir. A julgar pela vitimologia e comportamento do malware, acreditamos que o SysJoker é usado em ataques direcionados.analistas dizem.

Backdoor SysJoker multiplataforma

No Windows, SysJoker usa um conta-gotas de primeiro nível no formato DLL, que executa comandos do PowerShell e faz o seguinte: Obtém o arquivo ZIP SysJoker do GitHub repositório, extrai para C:\ProgramDataRecoverySystem, e executa a carga. O malware fica ocioso por cerca de dois minutos antes de criar um novo diretório e se copiar como Intel Serviço de interface de usuário comum de gráficos (igfxCUIService.exe).

Após, SysJoker coletará informações sobre o carro usando Living off the Land (LOtL) comandos. SysJoker usa vários arquivos de texto temporários para armazenar resultados. Esses arquivos de texto são excluídos imediatamente, salvo como um objeto JSON, e, em seguida, codificado e gravado no arquivo microsoft_Windows.dll.o relatório lê.

Após coletar os dados, o malware ganhará uma posição no sistema adicionando uma nova chave de registro (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). O próximo passo é a chamada acima mencionada para o servidor de gerenciamento, que usa um link codificado para o Google Drive.

Quando as informações coletadas durante os primeiros estágios da infecção são enviadas para o C&Servidor C, ele responde com um token exclusivo, que mais tarde serve como identificador da máquina infectada. Além disso, o servidor de controle pode ordenar que o backdoor instale malware adicional, execute comandos específicos no dispositivo infectado, ou deletar-se. Note-se que as duas últimas funções ainda não foram totalmente implementadas.

Os pesquisadores escrevem que as versões Linux e macOS não possuem um dropper de DLL, mas geralmente executam as mesmas operações maliciosas no dispositivo infectado.

Backdoor SysJoker multiplataforma

Até aqui, o malware não está associado a nenhum grupo de hack específico, mas Intezer está confiante de que o SysJoker é o trabalho de uma equipe séria, cujo objetivo final é coletar dados e mover-se lateralmente na rede da vítima, que pode eventualmente levar a um ataque de extorsão na próxima fase.

Você pode estar interessado em saber o que o Capoae malware instala um plugin backdoor em sites WordPress, e essa Novo XLoader malware rouba credenciais do macOS e do Windows.

Tag
Helga Smithjaneiro 14, 2022Última Actualização janeiro 15, 2022
187 lido 1 minuto

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo