Windows, Linux és macOS alatt is életképes a SysJocker trójai

​A SysJocker nevű trójai program Windows, macOS és Linux alatt is képes fertőzni. Elsősorban adatlopásból veszi ki a részét.
 

Azon számítógépes kártékony programok táborát gyarapítja a SysJocker trójai, amelyek többféle operációs rendszerrel is kompatibilisek, azaz nem kizárólag Windows-os számítógépek ostromlására alkalmasak. Ezek a multiplatform szerzemények a Microsoft operációs rendszere mellett általában a Linux vagy a macOS felé kacsintgatnak. A SysJocker fejlesztői azonban semmit sem bíztak a véletlenre, és úgy határoztak, hogy mindhárom rendszerre felkészítik az ártalmas programjukat.
 
Az újdonsült károkozót először az Intezer biztonsági kutatói fedezték fel, amikor egy Linux alapú webszerver ellen bekövetkező biztonsági incidenst vizsgáltak. Ekkor vették alaposabban szemügyre a szerzeményt, amelyről hamar kiderült, hogy egyáltalán nem válogat a célpontok között.
 
A SysJocker egy C++ nyelven íródott trójai, amely Windows, Linux és macOS alatt egyaránt adatlopásra törekszik. Legalábbis jelenleg, ugyanis vannak arra utaló jelek, hogy a készítői már fejlesztik az újabb moduljait. Ezek révén képessé válhat távolról indított parancsok végrehajtására, illetve a saját állományainak és bejegyzéseinek eltávolításra, vagyis a nyomainak eltüntetésére.
 
A SysJocker jelenlegi variánsa Windows alatt többlépcsős támadást hajt végre. Ennek során először letölt egy DLL-fájlt, majd ennek révén folytatja a fertőzést. A kártevő PowerShell segítségével felmásol a rendszerre legalább két fájlt:
C:\ProgramData\SystemData\igfxCUIService.exe
C:\ProgramData\SystemData\microsoft_Windows.dll
 
Ezt követően a regisztrációs adatbázis manipulálásával gondoskodik arról, hogy a Windows újraindítása után is életképes maradjon. A fertőzött számítógépről az adatokat szöveges fájlokba gyűjti ki, többnyire JSON-formátumba, majd időközönként e fájlokat feltölti a vezérlőszervereire. A kártevő az adatszivárogtatáshoz a Google Drive adta lehetőségekkel is vissza tud élni.
 
Amennyiben a SysJocker egy Linux alapú gépre kerül fel, akkor a saját állományát a "/.Library/” könyvtárba helyezi el, és crontab révén biztosítja a perzisztens jelenlétét. Ha pedig éppen egy macOS alapú rendszer kerül az útjába, akkor azon a "/Library/” mappába fészkeli be magát, és a LaunchAgent segítségével indul el.
 
A SysJocker további fontos jellemzője, hogy nagyon jól képes rejtőzni. Ezt támasztja alá az is, hogy meglehetősen hosszú ideig egyetlen víruskereső motor sem tudta észlelni a VirusTotalon.