Опасный зловред SysJoker переписали на Rust
Опасный зловред SysJoker переписали на Rust. Фото: СС0
SysJoker — это скрытное вредоносное ПО для Windows, Linux и macOS, впервые задокументированное компанией Intezer в начале 2022 года. Исследователи в то время обнаружили и проанализировали версии зловреда на C++.
Бэкдор имел функции загрузки кода в память, множество механизмов сохранения и не обнаруживался в любом варианте ОС с помощью VirusTotal.
Информация о варианте SysJoker на основе Rust была впервые представлена на VirusTotal 12 октября 2023 года.
Вредоносная программа использует случайные интервалы активности и сложное настраиваемое шифрование строк кода, чтобы избежать обнаружения и анализа.
При первом запуске зловред выполняет изменение реестра для обеспечения устойчивости с помощью PowerShell и завершает работу. При последующих выполнениях он устанавливает связь с сервером командования и контроля (C2), адрес которого он получает из URL-адреса OneDrive.
Основная роль SysJoker — извлечение и загрузка данных в скомпрометированную систему посредством приема команд в формате JSON.
Хотя вредоносное ПО по-прежнему собирает системную информацию, такую как версия ОС, имя пользователя, MAC-адрес и т. д., и отправляет ее на C2, ему не хватает возможностей выполнения команд, которые были в предыдущих версиях. Эти возможности могут появиться в будущих версиях выпуске, отмечают исследователи.
В компания Check Point сообщили, что в ходе исследования были обнаружены еще два образца SysJoker, которые специалисты назвали «DMADevice» и «AppMessagingRegistrar». Утверждается, что все они следуют схожим схемам работы.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было