แบ็คดอร์ SysJoker ข้ามแพลตฟอร์มโจมตี Windows, macOS และ Linux
ผู้เชี่ยวชาญของอินทีเซอร์ ได้ค้นพบแล้ว แบ็คดอร์ SysJoker ข้ามแพลตฟอร์มใหม่ที่ใช้กับอุปกรณ์บน Windows, Linux และ macOS เป็นส่วนหนึ่งของแคมเปญไซเบอร์สปาย.
ตามที่นักวิจัย, มัลแวร์มีการใช้งานตั้งแต่อย่างน้อยครึ่งหลังของ 2021. มัลแวร์ถูกค้นพบครั้งแรกในเดือนธันวาคม 2021 ระหว่างการโจมตีบนเว็บเซิร์ฟเวอร์ที่ใช้ Linux ซึ่งเป็นเจ้าของโดยสถาบันการศึกษาที่ไม่เปิดเผยชื่อ.
มัลแวร์เขียนด้วยภาษา C++ และแต่ละตัวแปรได้รับการปรับให้เหมาะกับระบบปฏิบัติการเฉพาะ. อย่างไรก็ตาม, รูปแบบทั้งหมดไม่ถูกตรวจพบโดยโซลูชันความปลอดภัยที่นำเสนอ ไวรัสรวม.
บนวินโดวส์, SysJoker ใช้หยดระดับแรกในรูปแบบ DLL, ซึ่งจะรันคำสั่ง PowerShell และดำเนินการดังต่อไปนี้: รับไฟล์ SysJoker ZIP จากไฟล์ GitHub พื้นที่เก็บข้อมูล, แยกมันเป็น C:\โปรแกรมข้อมูลRecoverySystem, และดำเนินการเพย์โหลด. มัลแวร์จะไม่ได้ใช้งานประมาณสองนาทีก่อนที่จะสร้างไดเร็กทอรีใหม่และคัดลอกตัวเองเป็น อินเทล บริการส่วนต่อประสานผู้ใช้กราฟิกทั่วไป (igfxCUIService.exe).
หลังจากรวบรวมข้อมูลแล้ว, มัลแวร์จะได้รับการตั้งหลักในระบบโดยการเพิ่มคีย์รีจิสทรีใหม่ (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). ขั้นตอนต่อไปคือการเรียกดังกล่าวไปยังเซิร์ฟเวอร์การจัดการ, ซึ่งใช้ลิงก์แบบฮาร์ดโค้ดไปยัง Google Drive.
เมื่อข้อมูลที่รวบรวมระหว่างการติดเชื้อระยะแรกถูกส่งไปยังซี&เซิร์ฟเวอร์ซี, มันตอบสนองด้วยโทเค็นที่ไม่ซ้ำใคร, ซึ่งต่อมาทำหน้าที่เป็นตัวระบุเครื่องที่ติดไวรัส. อีกด้วย, เซิร์ฟเวอร์ควบคุมสามารถสั่งให้แบ็คดอร์ติดตั้งมัลแวร์เพิ่มเติมได้, รันคำสั่งเฉพาะบนอุปกรณ์ที่ติดไวรัส, หรือลบตัวเองออกไป. มีข้อสังเกตว่าสองฟังก์ชันสุดท้ายยังไม่ได้รับการใช้งานอย่างสมบูรณ์.
นักวิจัยเขียนว่าเวอร์ชัน Linux และ macOS ไม่มี DLL dropper, แต่โดยทั่วไปแล้วจะดำเนินการที่เป็นอันตรายแบบเดียวกันบนอุปกรณ์ที่ติดไวรัส.
คุณอาจจะสนใจที่จะรู้ว่าอะไร เดอะ คาโป มัลแวร์ติดตั้งปลั๊กอินลับๆ บนไซต์ WordPress, และนั่น ใหม่ เอ็กซ์โหลดเดอร์ มัลแวร์ขโมยข้อมูลรับรองจาก macOS และ Windows.
