SysJoker Backdoor

SysJoker Backdoor Descripción

Una amenaza de puerta trasera en su mayoría no detectada llamada SysJoker está amenazando las computadoras que ejecutan Windows, Linux y macOS. El malware fue descubierto por Intezer y, según sus hallazgos, las variantes de Linux y macOS soncompletamente indetectable, mientras que el de Windows tiene una tasa de detección extremadamente baja.

El primer ataque que involucró a SysJoker tuvo lugar en diciembre de 2021 y se dirigió a un servidor web Linux perteneciente a una "institución educativa líder". Los atacantes pueden aprovechar el acceso ilícito establecido a través de SysJoker de diferentes maneras. Pueden implementar amenazas adicionales para intensificar el ataque, buscar nuevos objetivos o incluso vender el acceso de puerta trasera a otros grupos de ciberdelincuentes.

Detalles técnicos

Los datos actualmente disponibles sugieren que el vector de ataque inicial de SysJoker podría ser a través de un paquete npm amenazante. NPM significa 'Administrador de paquetes de nodo, que es el administrador de paquetes predeterminado cuando se trata del tiempo de ejecución de JavaScript Node.js. También es uno de los repositorios en línea más grandes para publicar proyectos Node.js de código abierto.

El comportamiento de SysJoker es idéntico en Linux y macOS, mientras que en Windows, la amenaza utiliza un cuentagotas de primera etapa dedicado. Una vez dentro del dispositivo objetivo, la puerta trasera primero permanecerá inactiva durante un período aleatorio, que oscila entre un minuto y medio y dos minutos. SysJoker entrará en este modo inactivo entre cada paso de su nefasta programación.

La amenaza creará el directorio C:\ProgramData\SystemData\ y se copiará allí con el nombre 'igfxCUIService.exe', en un intento de aparecer como el verdadero Servicio de interfaz de usuario común de Intel Graphics. Se establecerá un mecanismo de persistencia inyectando una nueva entrada en 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.'

El servidor C2 y los comandos

SysJoker recopilará diversa información sobre el sistema infectado. Los datos recopilados pueden incluir la dirección MAC del dispositivo, el nombre de usuario de la dirección IP y más. Estos datos de huellas dactilares se colocarán dentro de un archivo de texto temporalinicialmente, luego almacenado en un objeto JSON y finalmente codificado y escrito dentro de un archivo llamado 'microsoft_Windows.dll'.

Antes de que se puedan exfiltrar los datos, SysJoker debe recuperar la dirección de su servidor de comando y control (C2, C&C). El primer paso en el proceso es decodificar un enlace de Google Drive codificado con una clave XOR que también está codificada en la amenaza. El enlace de Drive conduce a un archivo de texto que contiene una dirección C2 codificada que cambia dinámicamente. Después de establecer una conexión exitosa y enviar la información recopilada sobre la víctima, SysJoker esperará comandos adicionales.

La amenaza es capaz de reconocer múltiples comandos diferentes, pero algunos ('remover_reg' y 'exit') no están completamente implementados en las versiones actuales de SysJoker. Los dos comandos habilitados son 'exe' y 'cmd'. A través del comando 'exe', los atacantes pueden indicarle a SysJoker que busque y luego ejecute ejecutables corruptos adicionales. El comando entrante incluirá el directorio donde se debe colocar el archivo y su nombre. El comando 'cmd' es responsable de recibir y luego ejecutar comandos arbitrarios en el sistema.