Resumen: Ha sido detectado un malware de puerta trasera multiplataforma, dirigido a los sistemas operativos Windows, macOS y Linux, cuya explotación podría proporcionarle a los atacantes el acceso total a los sistemas comprometidos.
Denominado como “SysJoker”, este nuevo malware comenzó a desplegarse a partir de la segunda mitad del 2021 y posee la capacidad de evadir su detección. Su descubrimiento fue realizado por investigadores de Intezer, quienes advierten que es probable que esta campaña se trate de una operación avanzada con fines de espionaje.
SysJoker compromete los dispositivos de sus víctimas haciéndose pasar por una actualización del sistema en macOS y Linux, mientras que en Windows aparenta formar parte de los controladores de Intel.
Para ejecutar el ataque, SysJoker genera un C2 decodificando una cadena recuperada de un archivo de texto alojado en Google Drive. Posteriormente, se mantiene inactivo durante un periodo de tiempo (entre un minuto y medio y dos minutos) para después crear un directorio C:\gramData\SystemData\ y copiarse en él con el nombre de archivo "igfxCUIService.exe", haciéndose pasar por el Servicio de Interfaz de Usuario Común de Gráficos Intel.
Una vez que ha recopilado la información del sistema, almacena los datos en un archivo temporal y establece su persistencia añadiendo la entrada de ejecución de registro "HKEY_CURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Run".
Es preciso destacar que el malware tiene la capacidad de recibir varios comandos, incluyendo "exe", "cmd", "remove_reg" y "exit"; el comando exe se encarga de soltar y ejecutar un archivo ejecutable, mientras que los otros se encargan de realizar un autoborrado. Ya que el ejecutable ha sido lanzado, SysJoker responde con "éxito" si el archivo se instaló correctamente o con "excepción" si no lo hizo.
Los investigadores han señalado que la manera en la que los atacantes lograron escribir un código capaz de dirigirse a tres sistemas operativos diferentes, sugiere que quienes están detrás de esto podrían ser descritos como un "actor de amenazas avanzadas".
Finalmente, parece que esta campaña se mantendrá activa durante los próximos meses, por lo que se le recomienda a todos los usuarios tomar las medidas necesarias para evitar ser vulnerados.
Recomendaciones: Aunque las detecciones para SysJoker son escasas o inexistentes por el momento, los investigadores de Intezer proporcionaron algunas medidas para mitigar su posible ejecución.
Se recomienda el uso de escáneres de memoria y estar al pendiente de cualquier actividad sospechosa.
Si detecta que el malware ha comprometido su sistema puede seguir los siguientes pasos: · Eliminar el mecanismo de persistencia correspondiente y todos los archivos relacionados con SysJoker. · Ejecutar un escáner de memoria · Comprobar el estado de la configuración y la complejidad de las contraseñas · Restablecer sus contraseñas.
TrendMicro está trabajando en la implementación de nuevos métodos para garantizar su seguridad Referencias: https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/
|
SÍGUENOS