Buscar
  • atapia73

El malware de puerta trasera SysJoker 'totalmente no detectado' se dirige a Windows, Linux y macOS


El malware establece el acceso inicial en las máquinas objetivo, luego espera a que se ejecute código adicional.


Un nuevo malware multiplataforma, probablemente distribuido a través de paquetes maliciosos npm, se está propagando bajo el radar con versiones de Linux y Mac que no se detectan en VirusTotal, advirtieron los investigadores.

La versión de Windows, según un artículo del martes de Intezer, tiene solo seis detecciones al momento de escribir este artículo. Estos se cargaron en VirusTotal con el sufijo ".ts", que se usa para los archivos TypeScript.


Apodada SysJoker por Intezer, la puerta trasera se utiliza para establecer el acceso inicial en una máquina de destino. Una vez instalado, puede ejecutar código de seguimiento, así como comandos adicionales, a través de los cuales los actores maliciosos pueden llevar a cabo ataques de seguimiento o pivotar para avanzar más en una red corporativa. Este tipo de acceso inicial también es un producto caliente en los ciberforos subterráneos, donde los grupos de ransomware y otros pueden comprarlo.


Se vio por primera vez en diciembre durante un ciberataque a un servidor web basado en Linux de una "institución educativa líder", dijeron los investigadores. Al observar su registro de dominio de comando y control (C2) y otros datos de muestra, este embaucador parece haber sido cocinado en la segunda mitad de 2021, agregaron.


Un posible vector de ataque para SysJoker es un paquete npm infectado, según el análisis de Intezer, un vector cada vez más popular para lanzar malware en los objetivos. Npm y otros repositorios de código público son comunidades de desarrolladores centralizadas donde los codificadores pueden cargar y descargar bloques de creación para crear aplicaciones. Si uno de estos bloques de construcción es malicioso, se puede introducir en cualquier número de aplicaciones, listo para atacar a cualquier usuario de esos proyectos infectados.


Rutina de infección de SysJoker

Una vez que encuentra un objetivo, SysJoker se disfraza de una actualización del sistema, dijeron los investigadores, para evitar sospechas. Mientras tanto, genera su C2 decodificando una cadena recuperada de un archivo de texto alojado en Google Drive.


"Durante nuestro análisis, el C2 ha cambiado tres veces, lo que indica que el atacante está activo y monitorea las máquinas infectadas", señalaron los investigadores en el informe. "Basándonos en la victimología y el comportamiento del malware, evaluamos que SysJoker busca objetivos específicos".

El comportamiento de SysJoker es similar para los tres sistemas operativos, según Intezer, con la excepción de que la versión de Windows hace uso de un cuentagotas de primera etapa.

Después de la ejecución, SysJoker duerme durante una cantidad aleatoria de tiempo, entre un minuto y medio y dos minutos. Luego, creará el directorio C:\ProgramData\SystemData\ y se copiará allí usando el nombre de archivo "igfxCUIService.exe", en otras palabras, se hace pasar por el Servicio de interfaz de usuario común de gráficos Intel.


Después de recopilar información del sistema (dirección mac, nombre de usuario, número de serie de medios físicos y dirección IP), recopila los datos en un archivo de texto temporal.

"Estos archivos de texto se eliminan inmediatamente, se almacenan en un objeto JSON y luego se codifican y escriben en un archivo llamado 'microsoft_Windows.dll'", anotaron los investigadores.

SysJoker establecerá la persistencia agregando una entrada a la clave de ejecución del Registro "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run". Entre cada una de estas etapas de la infección, duerme durante un período de tiempo aleatorio.


Establecimiento de la comunicación C2

Para establecer una conexión con el C2, SysJoker primero decodifica un enlace codificado de Google Drive utilizando una clave XOR codificada, observaron los investigadores. Utiliza la misma clave para cifrar la información enviada de ida y vuelta hacia y desde el C2, agregaron.

Ese enlace de Google Drive abre un archivo de texto llamado "dominio.txt" que contiene un C2 codificado (la dirección cambia dinámicamente según la disponibilidad del servidor). El enlace decodifica el C2 y envía los datos de huellas dactilares de la máquina recopilados previamente, según el análisis. El C2 responde con un token único, un identificador para esa infección en particular que usará para hacer ping al C2 para obtener instrucciones.


Comandos sysJoker

SysJoker puede recibir varios comandos, incluidos "exe", "cmd", "remove_reg" y "exit", solo dos de los cuales estaban habilitados en el momento del análisis de Intezer.

"remove_reg y salida no se implementan en esta versión actual", explicaron los investigadores. "Basándonos en los nombres de las instrucciones, podemos suponer que están a cargo de la autoeliminación del malware".


Comando Exe

El comando exe se encarga de soltar y ejecutar un ejecutable.

"SysJoker recibirá una URL a un archivo . ZIP, un directorio para la ruta en la que se debe colocar el archivo y un nombre de archivo que el malware debe usar en el ejecutable extraído", según Intezer. "Descargará este archivo, lo descomprimirá y lo ejecutará".

Después de la ejecución, el malware responderá "éxito" si el archivo se instaló correctamente o "excepción" si no.


Comando Cmd

El comando cmd es para ejecutar instrucciones de la siguiente etapa.

"SysJoker decodificará el comando, lo ejecutará y cargará la respuesta del comando al C2 a través de /api/req/res API", explicaron los investigadores. "[Pero] durante nuestro análisis, el C2 no ha respondido con una instrucción de la siguiente etapa".


Cómo detectar y mitigar el malware SysJoker

A pesar de que las detecciones de VirusTotal son bajas o inexistentes para SysJoker, Intezer proporcionó algunos consejos para determinar si se ha abierto camino en una red.

Los usuarios o administradores pueden usar primero escáneres de memoria para detectar una carga útil de SysJoker en la memoria. También pueden usar contenido de detección para buscar plataformas de detección y respuesta de endpoints (EDR) e información de seguridad y gestión de eventos (SIEM) (la publicación de Intezer tiene indicadores ricos de compromiso y otros datos para ayudar con esto).

Si se detecta un compromiso, las víctimas pueden tomar las siguientes medidas, según la firma:

  1. Elimine los procesos relacionados con SysJoker, elimine el mecanismo de persistencia relevante y todos los archivos relacionados con SysJoker.

  2. Asegúrese de que el equipo infectado esté limpio ejecutando un escáner de memoria.

  3. Investigue el punto de entrada inicial del malware. Si un servidor se infectó con SysJoker durante el curso de esta investigación, compruebe:

  4. Estado de configuración y complejidad de la contraseña para servicios de cara al público, y

  5. Versiones de software utilizadas y posibles exploits conocidos.

Fuente: El malware de puerta trasera SysJoker 'totalmente no detectado' se dirige a Windows, Linux y macOS | Threatpost

44 visualizaciones0 comentarios