Опасный зловред SysJoker переписали на Rust

Обнаружена новая версия мультиплатформенного вредоносного ПО, известного как «SysJoker», в которой полностью переписан код на языке программирования Rust.

Опасный зловред SysJoker переписали на Rust. Фото: СС0

SysJoker — это скрытное вредоносное ПО для Windows, Linux и macOS, впервые задокументированное компанией Intezer в начале 2022 года. Исследователи в то время обнаружили и проанализировали версии зловреда на C++.

Бэкдор имел функции загрузки кода в память, множество механизмов сохранения и не обнаруживался в любом варианте ОС с помощью VirusTotal.

Информация о варианте SysJoker на основе Rust была впервые представлена на VirusTotal 12 октября 2023 года.

Вредоносная программа использует случайные интервалы активности и сложное настраиваемое шифрование строк кода, чтобы избежать обнаружения и анализа.

При первом запуске зловред выполняет изменение реестра для обеспечения устойчивости с помощью PowerShell и завершает работу. При последующих выполнениях он устанавливает связь с сервером командования и контроля (C2), адрес которого он получает из URL-адреса OneDrive.

Основная роль SysJoker — извлечение и загрузка данных в скомпрометированную систему посредством приема команд в формате JSON.

Хотя вредоносное ПО по-прежнему собирает системную информацию, такую как версия ОС, имя пользователя, MAC-адрес и т. д., и отправляет ее на C2, ему не хватает возможностей выполнения команд, которые были в предыдущих версиях. Эти возможности могут появиться в будущих версиях выпуске, отмечают исследователи.

В компания Check Point сообщили, что в ходе исследования были обнаружены еще два образца SysJoker, которые специалисты назвали «DMADevice» и «AppMessagingRegistrar». Утверждается, что все они следуют схожим схемам работы.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме