Un nuovo malware multipiattaforma si sta diffondendo sottotraccia in particolare nelle versioni Linux e Mac, e non viene rilevato neanche nella scansione online multiantivirus di VirusTotal, hanno avvertito i ricercatori della sicurezza di Intego.
La versione per Windows, secondo un articolodi Intezer, ha solo sei rilevamenti al momento della stesura di questo documento. Questi sono stati caricati su VirusTotal con il suffisso “.ts”, utilizzato per i file TypeScript.
Soprannominata SysJoker da Intezer, la backdoor viene utilizzata per stabilire l’accesso iniziale su una macchina di destinazione.
Una volta installato, può eseguire codice e comandi aggiuntivi, attraverso i quali gli hacker possono eseguire attacchi successivi o spostarsi ulteriormente dentro a una rete aziendale.
Questo tipo di accesso iniziale è anche un software importante nei meandri dei cyberforum sotterranei, dove i gruppi dediti al lucroso ransomware e altri possono acquistarlo.
È stato visto in azione per la prima volta a dicembre durante un attacco informatico a un server Web basato su Linux di un istituto scolastico, hanno affermato i ricercatori. Osservando la registrazione del dominio di comando e controllo (C2) e altri dati, questo malware sembra essere stato inventato nella seconda metà del 2021.
Come funziona il malware Sysjoker
Un possibile vettore di attacco per SysJoker è un pacchetto npm infetto, secondo l’analisi di Intezer, un vettore sempre più popolare per rilasciare malware sui bersagli. Npm e altri repository di codice pubblico sono comunità di sviluppatori centralizzate in cui i programmatori possono caricare e scaricare blocchi predefiniti per la creazione di applicazioni.
Se uno di questi elementi costitutivi è dannoso, può essere inserito in un numero qualsiasi di app, pronto a colpire tutti gli utenti di quei progetti infetti.
Una volta trovato un obiettivo, SysJoker si maschera da aggiornamento di sistema, per evitare sospetti, poi genera il suo C2 decodificando una stringa recuperata da un file di testo ospitato su Google Drive.
“Durante la nostra analisi, il C2 è cambiato tre volte, indicando che l’attaccante è attivo e sta monitorando le macchine infette”, hanno osservato i ricercatori nel rapporto. “Sulla base del tipo di vittime e del comportamento, valutiamo che SysJoker stia cercando obiettivi specifici”.
Il comportamento di SysJoker è simile per tutti e tre i sistemi operativi, secondo Intezer.
Dopo l’esecuzione, SysJoker resta inattivo per un periodo di tempo casuale, compreso tra un minuto e mezzo e due minuti.
Quindi crea la directory C:\ProgramData\SystemData\ e si copierà lì usando il nome del file “igfxCUIService.exe” – in altre parole, si maschera come Intel Graphics Common User Interface Service.
Dopo aver raccolto le informazioni di sistema (indirizzo mac, nome utente, numero di serie del supporto fisico e indirizzo IP), raccoglie i dati in un file di testo temporaneo.
SysJoker stabilirà quindi la persistenza aggiungendo una voce alla chiave di esecuzione del registro “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”. Tra ciascuna di queste fasi dell’infezione, dorme per un periodo di tempo casuale.
Come stabilisce la comunicazione
Per stabilire una connessione SysJoker prima decodifica un collegamento di Google Drive codificato utilizzando una chiave XOR codificata, poi usa la stessa chiave per crittografare le informazioni inviate avanti e indietro da e verso il protocollo C2.
Quel collegamento a Google Drive apre un file di testo chiamato “domain.txt” che contiene un C2 codificato (l’indirizzo cambia dinamicamente in base alla disponibilità del server). Il collegamento decodifica il C2 e invia i dati di fingerprinting della macchina precedentemente raccolti, secondo l’analisi. Il C2 risponde con un token univoco, un identificatore per quella particolare infezione che utilizzerà per eseguire il ping del C2 per le istruzioni.
SysJoker può ricevere vari comandi, inclusi “exe”, “cmd”, “remove_reg” e “exit“, solo due dei quali erano abilitati al momento dell’analisi di Intezer.
SysJoker riceverà un URL a un file .ZIP, una directory per il percorso in cui il file deve essere rilasciato e un nome file che il malware dovrebbe utilizzare sull’eseguibile estratto”, secondo Intezer. “Scaricherà questo file, lo decomprimerà ed eseguirà.”
Dopo l’esecuzione, il malware risponderà “successo” se il file è stato installato correttamente o “eccezione” in caso contrario.
Come rilevare il malware SysJoker
Anche se i rilevamenti di VirusTotal sono quasi inesistenti per SysJoker, Intezer ha fornito alcuni suggerimenti per determinare se si è infiltrato in una rete.
Gli utenti o gli amministratori possono prima utilizzare gli scanner di memoria per rilevare un payload SysJoker in memoria. Possono anche utilizzare il contenuto di rilevamento per cercare le piattaforme di rilevamento e risposta degli endpoint (EDR) e di informazioni sulla sicurezza e di gestione degli eventi.
Se viene rilevata una compromissione, le vittime possono adottare i seguenti passaggi:
Eliminare i processi relativi a SysJoker, elimina il relativo meccanismo di persistenza e tutti i file relativi a SysJoker.
Assicurati che la macchina infetta sia pulita eseguendo uno scanner di memoria.
Indagare il punto di ingresso iniziale del malware. Se un server è stato infettato da SysJoker nel corso di questa indagine, controllare:
Stato della configurazione e complessità della password per i servizi pubblici.
Contro i visur c’è un’antivirus progettato appositamente per il Mac, qui trovi la versione free o acquistarlo sul sito del produttore.
Articoli consigliati
- CloudMensis il nuovo malware che spia i Mac
- Un nuovo malware per i processori M1 di Apple
- XMRig il malware che ruba i Bitcoin minati e si nasconde
- Tre segnali che il tuo Mac è infetto da un virus (e come verificarlo)
- Ricercatori scoprono una falla non correggibile nei chip M1 di Apple
- Mac Stealer: il furto di dati sensibili passa da Telegram
- Xcode: il malware che colpisce gli sviluppatori Mac
- Aggiornamento di Big Sur per evitare pericoloso bug
- I Mac sono più sicuri dei PC? non sempre...
