SysJoker Backdoor

Descrição do SysJoker Backdoor

Uma ameaça de backdoor quase não detectada, chamada SysJoker, está ameaçando os computadores que executam Windows, Linux e macOS. O malware foi descoberto pela Intezer e, de acordo com suas descobertas, as variantes para o Linux e macOS são completamente indetectáveis, enquanto a do Windows tem uma taxa de detecção extremamente baixa.

O primeiro ataque envolvendo o SysJoker ocorreu em dezembro de 2021 e teve como alvo um servidor Linux da Web, pertencente a uma 'instituição educacional líder'. Os invasores podem aproveitar o acesso ilícito estabelecido por meio do SysJoker de várias maneiras diferentes. Eles podem implantar ameaças adicionais para escalar o ataque, buscar novos alvos ou até mesmo vender o acesso de backdoor a outros grupos de criminosos cibernéticos.

Detalhes Técnicos

Os dados atualmente disponíveis sugerem que o vetor de ataque inicial do SysJoker pode ser por meio de um pacote npm ameaçador. NPM significa 'Node Package Manager, que é o gerenciador de pacotes padrão quando se trata do Node.js de tempo de execução do JavaScript. Também é um dos maiores repositórios online para a publicação de projetos Node.js de código aberto.

O comportamento do SysJoker é idêntico no Linux e no macOS, enquanto no Windows, a ameaça utiliza um dropper de primeiro estágio dedicado. Uma vez dentro do dispositivo alvo, o backdoor ficará inativo por um período aleatório, variando entre um minuto e meio e dois minutos. O SysJoker entrará nesse modo inativo entre cada etapa de sua programação nefasta.

A ameaça criará o diretório C:\ProgramData\SystemData\ e se copiará lá com o nome 'igfxCUIService.exe', numa tentativa de aparecer como o serviço de interface de usuário comum de gráficos Intel real. Um mecanismo de persistência será estabelecido injetando uma nova entrada no 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.'

O Servidor C2 e os Comandos

O SysJoker coletará várias informações sobre o sistema infectado. Os dados coletados podem incluir o endereço MAC do dispositivo, o nome de usuário do endereço IP e muito mais. Esses dados de impressão digital serão colocados dentro de um arquivo de texto temporário inicialmente, então armazenado em um objeto JSON e, finalmente, codificado e escrito dentro de um arquivo chamado 'microsoft_Windows.dll.'

Antes que os dados possam ser exfiltrados, o SysJoker deve recuperar o endereço do seu servidor de Comando e Controle (C2, C&C). A primeira etapa do processo é decodificar um link do Google Drive codificado usando uma chave XOR que também é codificada na ameaça. O link do Drive leva a um arquivo de texto contendo um endereço C2 codificado que muda dinamicamente. Após estabelecer uma conexão bem-sucedida e enviar as informações coletadas sobre a vítima, o SysJoker aguardará comandos adicionais.

A ameaça é capaz de reconhecer vários comandos diferentes, mas alguns ('remover_reg' e 'exit') não estão totalmente implementados nas versões atuais do SysJoker. Os dois comandos habilitados são 'exe' e 'cmd.' Por meio do comando 'exe', os invasores podem instruir o SysJoker a buscar e executar executáveis corrompidos adicionais. O comando de entrada incluirá o diretório onde o arquivo deve ser descartado e seu nome. O comando 'cmd' é responsável por receber e executar comandos arbitrários no sistema.