Plattformsövergripande SysJoker-bakdörr attackerar Windows, macOS och Linux
Intezers experter har upptäckt en ny plattformsoberoende SysJoker-bakdörr som används mot enheter på Windows, Linux och macOS som en del av en cyberspionkampanj.
Enligt forskare, skadlig programvara har varit aktiv sedan åtminstone andra halvan av 2021. Skadlig programvara upptäcktes först i december 2021 under en attack mot en Linux-baserad webbserver som ägs av en icke namngiven utbildningsinstitution.
Skadlig programvara är skriven i C++ och varje variant är anpassad för ett specifikt operativsystem. dock, alla variationer upptäcks inte av säkerhetslösningarna som presenteras på VirusTotal.
På Windows, SysJoker använder en dropper på första nivån i DLL-format, som sedan kör PowerShell-kommandon och gör följande: Hämtar SysJoker ZIP-filen från GitHub förvaret, extraherar det till C:\ProgramDataRecoverySystem, och kör nyttolasten. Skadlig programvara är inaktiv i cirka två minuter innan den skapar en ny katalog och kopierar sig själv som Intel Graphics Common User Interface Service (igfxCUIService.exe).
Efter att ha samlat in uppgifterna, skadlig programvara kommer att få fotfäste i systemet genom att lägga till en ny registernyckel (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionKör). Nästa steg är det tidigare nämnda anropet till hanteringsservern, som använder en hårdkodad länk till Google Drive.
När informationen som samlats in under de första stadierna av infektion skickas till C&C-server, den svarar med en unik token, som senare fungerar som identifierare för den infekterade maskinen. Också, kontrollservern kan beordra bakdörren att installera ytterligare skadlig programvara, exekvera specifika kommandon på den infekterade enheten, eller radera sig själv. Det noteras att de två sista funktionerna ännu inte har implementerats fullt ut.
Forskarna skriver att Linux- och macOS-versionerna inte har en DLL-droppare, men utför i allmänhet samma skadliga åtgärder på den infekterade enheten.
Du kanske är intresserad av att veta vad De Capoae malware installerar en bakdörrsplugin på WordPress-webbplatser, och det Ny XLoader skadlig programvara stjäl referenser från macOS och Windows.