SysJoker Backdoor

Una minaccia backdoor per lo più non rilevata chiamata SysJoker sta minacciando i computer che eseguono Windows, Linux e macOS. Il malware è stato scoperto da Intezer e, secondo i loro risultati, lo sono le varianti Linux e macOScompletamente non rilevabile, mentre quello di Windows ha un tasso di rilevamento estremamente basso.

Il primo attacco che ha coinvolto SysJoker è avvenuto nel dicembre 2021 e ha preso di mira un server web Linux appartenente a un "istituto scolastico leader". Gli aggressori possono sfruttare l'accesso illecito stabilito tramite SysJoker in una varietà di modi diversi. Possono implementare ulteriori minacce per intensificare l'attacco, cercare nuovi obiettivi o persino vendere l'accesso backdoor ad altri gruppi di criminali informatici.

Dettagli tecnici

I dati attualmente disponibili suggeriscono che il vettore di attacco iniziale di SysJoker potrebbe passare attraverso un minaccioso pacchetto npm. NPM sta per 'Node Package Manager, che è il gestore di pacchetti predefinito quando si tratta del runtime di JavaScript Node.js. È anche uno dei più grandi repository online per la pubblicazione di progetti Node.js open source.

Il comportamento di SysJoker è identico su Linux e macOS, mentre su Windows la minaccia utilizza un contagocce di prima fase dedicato. Una volta all'interno del dispositivo di destinazione, la backdoor rimarrà inattiva per un periodo casuale, compreso tra un minuto e mezzo e due minuti. SysJoker entrerà in questa modalità inattiva tra ogni passaggio della sua nefasta programmazione.

La minaccia creerà la directory C:\ProgramData\SystemData\ e si copierà lì sotto il nome "igfxCUIService.exe", un tentativo di apparire come il vero servizio Intel Graphics Common User Interface. Verrà stabilito un meccanismo di persistenza inserendo una nuova voce in 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.'

Il server e i comandi C2

SysJoker raccoglierà varie informazioni sul sistema infetto. I dati raccolti possono includere l'indirizzo MAC del dispositivo, il nome utente dell'indirizzo IP e altro. Questi dati di rilevamento delle impronte digitali verranno inseriti in un file di testo temporaneoinizialmente, quindi archiviato in un oggetto JSON e infine codificato e scritto all'interno di un file denominato "microsoft_Windows.dll".

Prima che i dati possano essere esfiltrati, SysJoker deve recuperare l'indirizzo del suo server Command-and-Control (C2, C&C). Il primo passaggio del processo è la decodifica di un collegamento di Google Drive codificato utilizzando una chiave XOR codificata anch'essa nella minaccia. Il collegamento Drive conduce a un file di testo contenente un indirizzo C2 codificato che cambia dinamicamente. Dopo aver stabilito una connessione riuscita e aver inviato le informazioni raccolte sulla vittima, SysJoker attenderà ulteriori comandi.

La minaccia è in grado di riconoscere più comandi diversi, ma alcuni ("remover_reg" e "exit") non sono completamente implementati nelle attuali versioni di SysJoker. I due comandi abilitati sono 'exe' e 'cmd.' Attraverso il comando 'exe' gli aggressori possono istruire SysJoker per recuperare e quindi eseguire ulteriori eseguibili danneggiati. Il comando in arrivo includerà la directory in cui il file dovrebbe essere eliminato e il suo nome. Il comando 'cmd' è responsabile della ricezione e quindi dell'esecuzione di comandi arbitrari sul sistema.