بدافزاری درون انواع سیستم عامل‌ها در پشتی ایجاد می‌کند

محققان هنگام بررسی یک حمله سایبری دیگر سیس جوکر را کشف کردند و هشدار دادند که به احتمال زیاد، این کار یک عملیات هک پیشرفته با هدف جاسوسی است.

محققان امنیت سایبر شکل جدیدی از بدافزار را کشف کرده‌اند که می‌تواند درهای پشتی در سیستم عامل‌های ویندوز، لینوکس و macOS ایجاد کرده و دسترسی کامل به سیستم‌های در معرض خطر را برای هکرها فراهم کند.

جزئیات این بدافزار توسط محققان Intezer که نام آن را SysJoker گذاری کرده‌اند، گفته شده است. این بدافزار در حالی کشف شد که آن‌ها در حال بررسی حمله علیه یک سرور وب مبتنی بر لینوکس در یک موسسه آموزشی نامعلوم در ماه دسامبر بودند. SysJoker بدافزاری نبود که در پشت حمله مورد بررسی قرار گرفت، اما روی سرورها مشاهده شد.

ماهیت SysJoker و نحوه طراحی آن برای ارائه یک در پشتی به سیستم‌ها (با قابلیت اجرای دستورات، دانلود و آپلود فایل ها) نشان می دهد هدف بدافزار، برای  کسانی که آن را راه‌اندازی می‌کنند، جاسوسی است. اما از آن می توان به عنوان یک ابزار برای ارائه بدافزارهای بیشتر به سیستم‌های مورد نفوذ نیز استفاده کرد.

Avigayil Mechtinger، پژوهشگر امنیت سایبری در Intezer به ZDNet گفته است: «بر اساس توانایی‌های بدافزار، ما ارزیابی می‌کنیم که هدف حمله، جاسوسی همراه با حرکت جانبی است که ممکن است منجر به حمله باج افزار به عنوان یکی از مراحل بعدی شود.»

SysJoker دستگاه های قربانی را با تغییر چهره به عنوان یک به روز رسانی سیستم برای Linux و MacOS به خطر می‌اندازد، در حالی که در نسخه ویندوز به عنوان درایور اینتل ظاهر می‌شود. مشخص نیست که چگونه به‌روزرسانی‌های درایور ساختگی به قربانیان ارائه می‌شوند، اما ماهیت به‌روزرسانی‌ها به این معنی است که کاربران احتمالاً دستورالعمل‌های نصب آنها را دنبال می‌کنند.

محققان اشاره می‌کنند که نام به روز رسانی‌هایی مانند "updateMacOs" و "updateSystem" نسبتا عمومی است و چیزی است که به طور بالقوه می تواند سوء ظن را برانگیخت.

بر اساس تجزیه و تحلیل SysJoker، این بدافزار در نیمه دوم سال ۲۰۲۱ شروع به استقرار فعال در حملات کرده است و مهاجمان پشت آن به کمپین‌ها توجه دقیقی دارند.

حتی در دوره تجزیه و تحلیل پس از کشف بدافزار در ماه دسامبر، دامنه کنترل و فرمان پشت حملات سه بار تغییر کرده است و این به این معنی است که کسانی که پشت کمپین‌ها هستند فعالانه اهداف را زیر نظر دارند.

نحوه توجه مهاجمان به قربانیان، دقتی که در انتخاب اهداف خود به خرج می‌دهند و این که بدافزار می‌تواند چندین سیستم عامل را هدف قرار دهد، نشان می‌دهد که کسانی که در پشت SysJoker هستند همان چیزی هستند که محققان به عنوان یک "عامل تهدید پیشرفته" توصیف می‌کنند.

علاوه بر این، این واقعیت که مهاجمان کدهایی را از ابتدا نوشته‌اند که در حملات قبلی دیده نشده است و می‌توانند سه سیستم عامل مختلف را هدف قرار دهند، همچنین نشان می‌دهد که مجرمان سایبری پشت SysJoker هر کسی هستند، می‌دانند دارند چه می‌کنند.

به نظر می‌رسد مهاجمان به دنبال اهداف خاصی هستند و می‌توانند در شبکه‌های مورد نفوذ برای مدت زمان قابل توجهی پنهان بمانند. ماهیت بدافزار SysJoker نیز تنها زمانی کشف شد که حمله دیگری در حال بررسی بود .

به احتمال زیاد این کمپین هنوز فعال است، اما محققان توصیه‌های دقیقی در مورد چگونگی جلوگیری از قربانی شدن دارند. این توصیه‌ها شامل استفاده از اسکنرهای حافظه برای شناسایی بارهای مخربی است که به طور بالقوه نصب شده اند. مدیران همچنین باید مراقب فعالیت‌های مشکوک بالقوه باشند و در صورت بروز مشکل، آن را بررسی کنند.