SysJoker маскируется под системное обновление.
Операторы нового кроссплатформенного бэкдора под названием SysJoker
«SysJoker маскируется под системное обновление и генерирует свой командный сервер путем декодирования строки, извлеченной из текстового файла на Google Диске», — отметили исследователи из Intezer.
Специалисты обнаружили свидетельства присутствия вредоноса в декабре 2021 года во время активной атаки на web-сервер на базе Linux, принадлежащий неназванному образовательному учреждению.
Вредоносное ПО, написанное на языке программирования C++, доставляется через файл загрузчика с удаленного сервера. Вредонос предназначен для сбора информации о скомпрометированной системе, такой как MAC-адрес, имя пользователя, серийный номер физического носителя и IP-адрес. Собранные данные кодируются и передаются обратно на сервер.
Соединения с сервером, контролируемым злоумышленниками, устанавливаются путем извлечения URL-адреса домена из встроенной ссылки в текстовом файле («domain.txt») на Google Диске. Это позволяет серверу передавать на компьютер инструкции для запуска произвольных команд и исполняемых файлов.
Операторы нового кроссплатформенного бэкдора под названием SysJoker
Для просмотра ссылки необходимо нажать
Вход или Регистрация
на компьютеры под управлением операционных систем Windows, Linux и macOS в рамках продолжающейся шпионской кампании.«SysJoker маскируется под системное обновление и генерирует свой командный сервер путем декодирования строки, извлеченной из текстового файла на Google Диске», — отметили исследователи из Intezer.
Специалисты обнаружили свидетельства присутствия вредоноса в декабре 2021 года во время активной атаки на web-сервер на базе Linux, принадлежащий неназванному образовательному учреждению.
Вредоносное ПО, написанное на языке программирования C++, доставляется через файл загрузчика с удаленного сервера. Вредонос предназначен для сбора информации о скомпрометированной системе, такой как MAC-адрес, имя пользователя, серийный номер физического носителя и IP-адрес. Собранные данные кодируются и передаются обратно на сервер.
Соединения с сервером, контролируемым злоумышленниками, устанавливаются путем извлечения URL-адреса домена из встроенной ссылки в текстовом файле («domain.txt») на Google Диске. Это позволяет серверу передавать на компьютер инструкции для запуска произвольных команд и исполняемых файлов.
Для просмотра ссылки необходимо нажать
Вход или Регистрация