Sigurnosni istraživači kompanije Intezer su otkrili zlonamjerni softver nazvan SysJoker koji napada Windows, macOS i Linux sisteme sa sposobnošću izbjegavanja otkrivanja na sva tri operativna sistema.
 |
| SysJoker zlonamjerni softver; Design by Saša Đurić |
Sigurnosni istraživači su ga primijetili u decembru 2021. godine prilikom istrage napada na Linux server. Daljim istraživanjem utvrđeno je da su se uzorci ovog zlonamjernog softvera pojavili na VirusTotal servisu u drugoj polovini 2021. godine. Napisan u programskom jeziku C++ i prilagođen svakom operativnom sistemu posebno, prošao je neopaženo na VirusTotal servisu koji sadrži 57 različitih antivirusnih skenera u verzijama prilagođenim za macOS i Linux operativne sisteme.
Internet stranica BleepingComputer je objavila detaljnu analizu SysJoker zlonamjernog softvera. Windows verzija ovog zlonamjernog softvera ima, za razliku od macOS i Linux verzije, prvu fazu napada. U toj fazi koristi se DLL fajl koji koristi PowerShell komande za preuzimanje ZIP arhive sa GitHub-a u kojoj se nalazi SysJoker. Arhiva se raspakuje na adresu “C:\ProgramData\RecoverySystem\” i pokrene aktivni dio virusa. Nakon pokretanja, ide u režim mirovanja od 90 do 120 sekundi i onda se maskira kao Intel Graphics Common User Interface Service, odnosno igfxCUIService.exe.
U sljedećem koraku prikuplja informacije u uređaju upisujući informacije u razne privremene tekstualne dokumente. Na kraju sve informacije se kodiraju i upisuju u fajl pod nazivom “microsoft_Windows.dll”, dok se privremeni tekstualni dokumenti brišu. Nakon prikupljana informacija, zlonamjerni softver će napraviti uporište dodavajući novi registry ključ “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” uz nekoliko nasumičnih stanja mirovanja između svakog koraka.
 |
| Source: Intezer |
Naredni korak je uspostavljanje veze sa kontrolnim serverom putem kodirane veze ka Google Drive-u. Tu se nalazi fajl pod nazivom “domain.txt” koji je redovno ažuriran od strane napadača sa listom kontakt servera, što dalje omogućava da se izbjegne detekcija ili blokiranje. Odmah po uspostavljanju veze, prikupljene informacije se šalju komandom serveru, koji kao odgovor na to zaraženom uređaju dodjeljuje jedinstveni identifikator. Nakon ovoga, komandi server može isporučiti novi zlonamjerni softver, pokretati naredbe na zaraženom uređaju ili obrisati zlonamjerni softver.
 |
| Komunikacija sa komandnim serverom; Source: Intezer |
Kompanija Intezer je dala detaljne instrukcije pomoću kojih administratori mogu ustanoviti da li su njihovi uređaji zaraženi sa zlonamjernim softverom SysJoker. Pored toga su objavili i korake koje bi trebalo preduzeti. Više detaljnijih informacija možete naći ovdje.
