SysJoker napada Windows, macOS i Linux operativne sisteme

Sigurnosni istraživači kompanije Intezer su otkrili zlonamjerni softver nazvan SysJoker koji napada Windows, macOS i Linux sisteme sa sposobnošću izbjegavanja otkrivanja na sva tri operativna sistema.

SysJoker malware

SysJoker zlonamjerni softver; Design by Saša Đurić

Sigurnosni istraživači su ga primijetili u decembru 2021. godine prilikom istrage napada na Linux server. Daljim istraživanjem utvrđeno je da su se uzorci ovog zlonamjernog softvera pojavili na VirusTotal servisu u drugoj polovini 2021. godine. Napisan u programskom jeziku C++ i prilagođen svakom operativnom sistemu posebno, prošao je neopaženo na VirusTotal servisu koji sadrži 57 različitih antivirusnih skenera u verzijama prilagođenim za macOS i Linux operativne sisteme. 

Internet stranica BleepingComputer je objavila detaljnu analizu SysJoker zlonamjernog softvera.Windowsverzija ovog zlonamjernog softvera ima, za razliku od macOS i Linuxverzije, prvu fazu napada. U toj fazi koristi se DLLfajl koji koristi PowerShellkomande za preuzimanjeZIP arhive sa GitHub-a u kojoj se nalazi SysJoker. Arhiva se raspakuje na adresu “C:\ProgramData\RecoverySystem\” i pokrene aktivni dio virusa. Nakon pokretanja, ide u režim mirovanja od 90 do 120 sekundi i onda se maskira kao Intel Graphics Common User Interface Service, odnosno igfxCUIService.exe. 

U sljedećem koraku prikuplja informacije u uređaju upisujući informacije u razne privremene tekstualne dokumente. Na kraju sve informacije se kodiraju i upisuju u fajl pod nazivom  “microsoft_Windows.dll”, dok se privremeni tekstualni dokumenti brišu. Nakon prikupljana informacija, zlonamjerni softver će napraviti uporište dodavajući novi registry ključ “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” uz nekoliko nasumičnih stanja mirovanja između svakog koraka.

hardcoded XOR key

Source: Intezer

Naredni korak je uspostavljanje veze sa kontrolnim serverom putem kodirane veze ka Google Drive-u. Tu se nalazi fajl pod nazivom  “domain.txt” koji je redovno ažuriran od strane napadača sa listom kontakt servera, što dalje omogućava da se izbjegne detekcija ili blokiranje. Odmah po uspostavljanju veze, prikupljene informacije se šalju komandom serveru, koji kao odgovor na to zaraženom uređaju dodjeljuje jedinstveni identifikator. Nakon ovoga, komandi server može isporučiti novi zlonamjerni softver, pokretati naredbe na zaraženom uređaju ili obrisati zlonamjerni softver.

communication with the C2

Komunikacija sa komandnim serverom; Source: Intezer

Kompanija Intezer je dala detaljne instrukcije pomoću kojih administratori mogu ustanoviti da li su njihovi uređaji zaraženi sa zlonamjernim softverom SysJoker. Pored toga su objavili i korake koje bi trebalo preduzeti. Više detaljnijih informacija možete naći ovdje.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.