Новый кроссплатформенное ПО под названием «SysJoker» было замечено на машинах под управлением операционных систем Windows, Linux и macOS в рамках продолжающейся кампании по шпионажу, которая, предположительно, была начата во второй половине 2021 года.
«SysJoker маскируется под обновление системы и генерирует свой командно-контрольный сервер путем декодирования строки, полученной из текстового файла, размещенного на Google Drive», – отметили исследователи Intezer Авигаил Мехтингер, Райан Робинсон и Николь Фишбейн в техническом описании своих результатов.
«Основываясь на виктимологии и поведении вредоносной программы, мы предполагаем, что SysJoker преследует довольно конкретные цели».
Израильская компания по кибербезопасности заявила, что впервые обнаружила свидетельства существования вируса в декабре 2021 года во время активной атаки на веб-сервер на базе Linux, принадлежащий некой неназванной образовательной организации.
Вредоносная программа SysJoker, написанная на языке C++, поставляется с удалённого сервера, который после выполнения необходимых действий собирает информацию о взломанном устройстве, такую как MAC-адрес, имя пользователя, серийный номер носителя и IP-адрес, все эти данные кодируются и передаются обратно на сервер.
Более того, соединения с контролируемым злоумышленниками сервером устанавливаются путем извлечения URL-адреса домена из жёстко закодированной ссылки на Google Drive, где размещён текстовый файл «domain.txt», что позволяет серверу передавать инструкции на машину, позволяющие вредоносной программе запускать произвольные команды и исполняемые файлы, после чего передавать обратно результаты действий.
Ещё по теме:
- WhatsApp добавит плеер для голосовых заметок. Как в Telegram
- Украденные у EVGA видеокарты нашлись на другом конце планеты
- Тюрьма в Нью-Мексико была вынуждена закрыться из-за кибератаки выведшей из строя камеры наблюдения и двери
