Новый кроссплатформенное ПО под названием «SysJoker» было замечено на машинах под управлением операционных систем Windows, Linux и macOS в рамках продолжающейся кампании по шпионажу, которая, предположительно, была начата во второй половине 2021 года.

«SysJoker маскируется под обновление системы и генерирует свой командно-контрольный сервер путем декодирования строки, полученной из текстового файла, размещенного на Google Drive», – отметили исследователи Intezer Авигаил Мехтингер, Райан Робинсон и Николь Фишбейн в техническом описании своих результатов.

«Основываясь на виктимологии и поведении вредоносной программы, мы предполагаем, что SysJoker преследует довольно конкретные цели».

Израильская компания по кибербезопасности заявила, что впервые обнаружила свидетельства существования вируса в декабре 2021 года во время активной атаки на веб-сервер на базе Linux, принадлежащий некой неназванной образовательной организации.

Вредоносная программа SysJoker, написанная на языке C++, поставляется с удалённого сервера, который после выполнения необходимых действий собирает информацию о взломанном устройстве, такую как MAC-адрес, имя пользователя, серийный номер носителя и IP-адрес, все эти данные кодируются и передаются обратно на сервер.

Более того, соединения с контролируемым злоумышленниками сервером устанавливаются путем извлечения URL-адреса домена из жёстко закодированной ссылки на Google Drive, где размещён текстовый файл «domain.txt», что позволяет серверу передавать инструкции на машину, позволяющие вредоносной программе запускать произвольные команды и исполняемые файлы, после чего передавать обратно результаты действий.


Ещё по теме: