Plattformsövergripande SysJoker-bakdörr attackerar Windows, macOS och Linux

Helga Smithjanuari 14, 2022Senast uppdaterad: januari 15, 2022
187 1 läst minut

Intezers experter har upptäckt en ny plattformsoberoende SysJoker-bakdörr som används mot enheter på Windows, Linux och macOS som en del av en cyberspionkampanj.

Enligt forskare, skadlig programvara har varit aktiv sedan åtminstone andra halvan av 2021. Skadlig programvara upptäcktes först i december 2021 under en attack mot en Linux-baserad webbserver som ägs av en icke namngiven utbildningsinstitution.

Skadlig programvara är skriven i C++ och varje variant är anpassad för ett specifikt operativsystem. dock, alla variationer upptäcks inte av säkerhetslösningarna som presenteras på VirusTotal.

SysJoker maskerad som en systemuppdatering och genererar dess C&C-server genom att avkoda en sträng som tas emot från en textfil som finns på Google Kör. Att döma av skadlig programvaras viktimologi och beteende, vi tror att SysJoker används i riktade attacker.säger analytiker.

Cross-platform SysJoker bakdörr

På Windows, SysJoker använder en dropper på första nivån i DLL-format, som sedan kör PowerShell-kommandon och gör följande: Hämtar SysJoker ZIP-filen från GitHub förvaret, extraherar det till C:\ProgramDataRecoverySystem, och kör nyttolasten. Skadlig programvara är inaktiv i cirka två minuter innan den skapar en ny katalog och kopierar sig själv som Intel Graphics Common User Interface Service (igfxCUIService.exe).

Efteråt, SysJoker kommer att samla in information om bilen med Living off the Land (LOtL) kommandon. SysJoker använder olika temporära textfiler för att lagra resultat. Dessa textfiler raderas omedelbart, sparas som ett JSON-objekt, och sedan kodas och skrivs till filen microsoft_Windows.dll.lyder rapporten.

Efter att ha samlat in uppgifterna, skadlig programvara kommer att få fotfäste i systemet genom att lägga till en ny registernyckel (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionKör). Nästa steg är det tidigare nämnda anropet till hanteringsservern, som använder en hårdkodad länk till Google Drive.

När informationen som samlats in under de första stadierna av infektion skickas till C&C-server, den svarar med en unik token, som senare fungerar som identifierare för den infekterade maskinen. Också, kontrollservern kan beordra bakdörren att installera ytterligare skadlig programvara, exekvera specifika kommandon på den infekterade enheten, eller radera sig själv. Det noteras att de två sista funktionerna ännu inte har implementerats fullt ut.

Forskarna skriver att Linux- och macOS-versionerna inte har en DLL-droppare, men utför i allmänhet samma skadliga åtgärder på den infekterade enheten.

Cross-platform SysJoker bakdörr

Än så länge, skadlig programvara är inte associerad med någon specifik hackgrupp, men Intezer är övertygad om att SysJoker är ett verk av ett seriöst team, vars slutmål är att samla in data och röra sig i sidled i offrets nätverk, vilket så småningom kan leda till en utpressningsattack i nästa skede.

Du kanske är intresserad av att veta vad De Capoae malware installerar en bakdörrsplugin på WordPress-webbplatser, och det Ny XLoader skadlig programvara stjäl referenser från macOS och Windows.

Taggar
Helga Smithjanuari 14, 2022Senast uppdaterad: januari 15, 2022
187 1 läst minut

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen