Операторы шпионского ПО SysJoker атакуют пользователей Windows, macOS и Linux

Операторы нового кроссплатформенного бэкдора под названием SysJoker нацелены на компьютеры под управлением операционных систем Windows, Linux и macOS в рамках продолжающейся шпионской кампании.

«SysJoker маскируется под системное обновление и генерирует свой командный сервер путем декодирования строки, извлеченной из текстового файла на Google Диске», — отметили исследователи из Intezer.

Специалисты обнаружили свидетельства присутствия вредоноса в декабре 2021 года во время активной атаки на web-сервер на базе Linux, принадлежащий неназванному образовательному учреждению.

Вредоносное ПО, написанное на языке программирования C++, доставляется через файл загрузчика с удаленного сервера. Вредонос предназначен для сбора информации о скомпрометированной системе, такой как MAC-адрес, имя пользователя, серийный номер физического носителя и IP-адрес. Собранные данные кодируются и передаются обратно на сервер.

Соединения с сервером, контролируемым злоумышленниками, устанавливаются путем извлечения URL-адреса домена из встроенной ссылки в текстовом файле («domain.txt») на Google Диске. Это позволяет серверу передавать на компьютер инструкции для запуска произвольных команд и исполняемых файлов.