Tin tức và phân tích của tất cả các thiết bị di động

SysJoker: phần mềm độc hại không thể phát hiện trong vài tháng qua WindowsmacOS và Linux

SysJoker © Intezer

Làm việc như một bóng ma trên ba Các hệ điều hành trong một thời gian, phần mềm độc hại, mà thực sự là một cửa hậu, cuối cùng đã được phát hiện. Nó giả dạng như một bản cập nhật hệ thống.

“SysJoker”, đó là tên của nó, có thể xuất hiện trên nhiều hệ điều hành khác nhau mà tất cả mọi người đều biết đến: Windows, macOS và Linux. Anh ta đã cố gắng tránh xa các radar của các hệ thống, phần mềm và nền tảng phát hiện khác nhau của vũ trụ mạng, trong vài tháng. Cuối cùng, các nhà nghiên cứu từ Intezer, một công ty bảo mật máy tính ở New York, đã phát hiện ra loại phần mềm độc hại mới này, hoạt động như một cửa sau (cửa sau).

Phần mềm độc hại đa hệ điều hành, hầu như không thể bị phát hiện với cái gọi là phần mềm chống vi rút “truyền thống”

Vào tháng 12, các kỹ sư Intezer đã thực hiện khám phá của họ. Lần đầu tiên họ phát hiện phần mềm độc hại mới trên một máy chủ web Linux được gắn với một tổ chức giáo dục. dẫn đầu “, theo họ. Chính từ phát hiện này, họ đã tiến hành một cuộc điều tra chuyên sâu hơn và đặt tên là phần mềm độc hại SysJoker, nó tỏa sáng với khả năng vượt qua phần mềm phát hiện bằng cách đóng giả là một bản cập nhật hệ thống.

Sau khi điều tra, các nhà nghiên cứu cũng xác định được cửa hậu trên Windows và macOS, hai hệ điều hành khác. Không thực sự yên tâm, đặc biệt là vì sau đó họ đã sàng lọc qua 70 phần mềm chống vi-rút một mẫu phần mềm độc hại, thông qua giải pháp VirusTotal và hãy giữ chặt: không ai quản lý để phát hiện nó trên macOS và Linux. Chỉ có sáu người trong số họ thực hiện một báo cáo về phiên bản Windows. Điều này có nghĩa là trong thể loại không thể phát hiện, SysJoker khá ấn tượng.

Có lẽ sẽ hoành hành kể từ nửa cuối năm 2021, SysJoker được viết bằng ngôn ngữ C ++ và thích ứng với từng hệ điều hành trong số ba hệ điều hành được đề cập ở trên, một thực tế đặc biệt hiếm gặp chỉ khiến nó trở nên nguy hiểm hơn.

Một cuộc tấn công tinh vi, có lẽ là công việc của một diễn viên có kỹ năng nâng cao, có thể phát triển thành ransomware

Dưới Windows, SysJoker có một bộ phun cấp một, có dạng một DLL (một thư viện liên kết động cung cấp hầu hết các chức năng của hệ điều hành), nó sẽ tự đưa vào hệ thống và sau đó khởi chạy các lệnh PowerShell sẽ cho phép giải nén SysJoker ( sau đó ở định dạng ZIP) sau đó để thực thi nó. 90 đến 120 giây sau, một khoảng thời gian mà nó không hoạt động, SysJoker tạo một thư mục mới (C: \ ProgramData \ SystemData \) và diễn ra ở đó, dưới tên igfxCUIService.exeđối với Dịch vụ Giao diện Người dùng Thông thường của Đồ họa Intel, không có gì khác hơn là một thành phần phần mềm được cài đặt cùng với trình điều khiển cho cạc đồ họa Intel và là một phần không thể thiếu trong giao diện người dùng của thương hiệu.

Bước tiếp theo là gì? SysJoker dành thời gian thu thập thông tin về cỗ máy, ngủ trong một khoảng thời gian ngẫu nhiên giữa mỗi màn chơi. Sau một thời gian, anh quản lý để giải mã một liên kết Google Drive được mã hóa cơ bản và truy cập vào tệp chứa địa chỉ của máy chủ lệnh và điều khiển (C2 hoặc C&C), một tệp còn có khả năng thay đổi theo thời gian. Cuối cùng, SysJoker quản lý để thu thập thông tin cần thiết để thực hiện các lệnh (exe, cmd, remove_reglối ra) hoặc cài đặt phần mềm độc hại khác.

C2 SysJoker © Intezer

Về danh tính của nhóm hoặc thực thể đằng sau SysJoker, có rất ít thông tin. Tuy nhiên, Intezer tin rằng vì mã được viết từ đầu và chưa từng được xác định trước đây, nên rất có thể tác giả của phần mềm độc hại là một tác nhân tiên tiến, có thể đã được biết đến nhiều. Một manh mối khác đi theo hướng này: cuộc tấn công hiện tại vẫn là duy nhất, chỉ ra một mục tiêu cụ thể.

Về hậu quả của cuộc tấn công này, Intezer do đó nghiêng về hoạt động gián điệp, “ với một chuyển động ngang cũng có thể dẫn đến một cuộc tấn công bởi Ransomware trong bước tiếp theo.

Về cùng một chủ đề:
Tấn công mạng ở Ukraine: Microsoft cảnh báo rằng họ có thể khiến cấu trúc CNTT của chính phủ không hoạt động

Nguồn : Tương tác