SysJoker: nuova backdoor per Windows, macOS e Linux

SysJoker: nuova backdoor per Windows, macOS e Linux

SysJocker è una backdoor compatibile con Windows, macOS e Linux che sembra un aggiornamento del sistema operativo.
SysJocker è una backdoor compatibile con Windows, macOS e Linux che sembra un aggiornamento del sistema operativo.

Solitamente i malware prendono di mira singoli sistemi operativi, ma negli ultimi anni è aumentato il numero degli attacchi multi-piattaforma. Uno dei più recenti è stato effettuato con la backdoor SysJocker per Windows, macOS e Linux. Gli esperti di Intezer hanno pubblicato un'analisi tecnica della versione Windows, ma il funzionamento è simile sugli altri sistemi operativi.

SysJocker: backdoor multi-piattaforma

Le prime tracce di SysJoker sono state scoperte durante un attacco contro un server web Linux di un'istituzione educativa. Successivamente (dicembre 2021) sono state individuate anche versioni per Windows e macOS. Come si deduce dal nome, la backdoor viene installata insieme ad un falso aggiornamento del sistema operativo. Il malware è stato scritto in C++.

A differenza delle versioni per macOS e Linux, SysJoker per Windows contiene un “first-stage dropper”, ovvero una DLL che scarica un file ZIP con il malware da una repository di GitHub, apre l'archivio ed esegue la backdoor, utilizzando comandi PowerShell. Dopo circa 90-120 secondi, una copia di SySJocker viene salvata nella directory C:\ProgramData\SystemData\ con il nome igfxCUIService.exe (Intel Graphics Common User Interface Service).

Inizia quindi la raccolta delle informazioni che vengono prima copiate in file di testo e successivamente in un oggetto JSON cifrato che viene nominato come microsoft_Windows.dll. Dopo aver aggiunto una chiave di registro per l'esecuzione automatica all'avvio, SySJoker invia i dati ad un server remoto. L'elenco dei domini è contenuto in un file di testo ospitato su Google Drive. La backdoor può installare altri malware, eseguire comandi e anche cancellare se stessa dal dispositivo per evitare di essere rilevata.

Fonte: Intezer
Link copiato negli appunti

Ti potrebbe interessare

13 01 2022
Link copiato negli appunti