در دسامبر 2021، تیم تحلیل بدافزار Intezer یک بدافزار جدید را بر روی وب سرور لینوکس یکی از موسسات شاخص آکادمیک کشف کرد. این بدافزار که SysJoker نام دارد سیستمعامل های ویندوز و مک را نیز هدف قرار گرفته است. این کار قابلیت و توانایی آلوده کرده سیستمهای قربانی را افزایش میدهد. نسخههای لینوکس و مک این malware، هم اکنون توسط بیشتر آنتیویروس ها و نرمافزارهای محافظتی غیرقابل شناسایی هستند.
این نرمافزار مخرب مبتنی بر زبان ++C است و چندین ماه ناشناس باقی ماند. احتمالا در اواسط 2021 یا اواخر آن منتشر شده است و تیم امنیتی که بدافزار را کشف کرده، آن را SysJoker نامیده است. رفتار این فایل مخرب در تمام سیستمعاملها یکسان است و وقتی که اجرا میشود کپیهایی از خودش در دایرکتوری رابط کاربری گرافیکی اینتل (igfxCUIService.exe) ایجاد میکند.
بعد از انجام دادن چند فرآیند، برنامه شروع به جمعآوری اطلاعات کامپیوتر قربانی شامل آدرس آی پی MAC آدرس و شماره سریال میکند. این بدافزار خود را به عنوان آپدیتی برای سیستم عامل جا میزند. پست وبلاگ Intezer توضیحات کاملی درباره رفتار بدافزار، الگوها و دستورالعملهای کنترلی این فایل مخرب ارائه میدهد.
پست وبلاگی این شرکت امنیتی مراحل شناسایی و پاسخ به این تهدید را در اختیار خوانندگان قرار میدهد و آنها میتوانند تعیین کنند که آیا سازمانشان به خطر افتاده است یا خیر. همچنین از آنجایی که در حال حاضر این بدافزار توسط بیشتر نرمافزارهای امنیتی شناسایی نمیشود و توزیع گستردهای در سیستمعامل های رایج دارد، Intezer Protect میتواند به شناسایی آن در سیستمهای لینوکسی کمک کند. این شرکت یک اسکنر رایگان نیز برای انجام این کار در دسترس قرار داده است. در سیستمهای قربانی توصیه میشود:
- پردازش مربوط به SysJoker را متوقف کنید و تمام فایلهای مربوط به آن را نیز حذف کنید.
- اسکن مموری را در سیستمهای قربانی انجام دهید.
- تحقیقات را برای مشخص کردن نحوه ورود اولیه malware به سیستم انجام دهید.
- برای سرورهای قربانی شده، تمام تنظیمات سرور و پیکربندی را دوباره بررسی کنید و رمزهای عبور سرویسهای مبتنی بر اینترنت در سرور را نیز چک کنید.
- نرمافزارها ورژن آنها و آسیبپذیریهای مربوطه در سرور را نیز حتما شناسایی و بررسی کنید.
تجزیهوتحلیل کامپیوتر سازمانهای هدف قرار گرفته با این بدافزار و رفتارهای آن، محققان امنیتی را به این باور رسانده است که SysJoker کار یک تیم پیشرفته است. قابلیت اجرای عملیات و ناشناس ماندن و مخفی کاری، ارائه و ایجاد بدافزار در سیستمعامل های مختلف، همهگی نشان از کاربلدی تیم توسعهدهنده این بدافزار میدهد. گفته میشود که بدافزار کشف شده بیشتر برای اهداف جاسوسی و حملات باجافزاری هدفگذاری شده است.
لازم به ذکر است که آنتیویروس از شما و سیستمهایتان فقط در مقابل تهدیدات شناخته شده و آن فایلهای مخربی که توسعهدهندهی آنتیویروس آن را به نرمافزار خود نشان داده است محافظت میکند، و در مقابل روشها تهدیدات آسیبپذیریها و فایلهای مخرب جدید، نرمافزارهای امنیتی بعضا ناقص عمل میکنند. پس همیشه نیاز است که مجموعهای از رفتارهای آنلاین در کنار استفاده از آنتیویروس در نظر گرفته شود.
توسط 
قشنگ کراس پلتفرمه