Clicky

Nuevo malware de espionaje SysJoker dirigido a usuarios de Windows, macOS y Linux

SysJoker

SysJoker se hace pasar por una actualización del sistema

Se ha observado una nueva puerta trasera multiplataforma llamada "SysJoker" dirigida a máquinas que ejecutan sistemas operativos Windows, Linux y macOS como parte de una campaña de espionaje en curso que se cree que se inició durante la segunda mitad de 2021.

"SysJoker se hace pasar por una actualización del sistema y genera su [servidor de comando y control] al decodificar una cadena recuperada de un archivo de texto alojado en Google Drive", señalaron los investigadores de Intezer Avigayil Mechtinger, Ryan Robinson y Nicole Fishbein en un escrito técnico que publicitaba sus hallazgos. "Con base en la victimología y el comportamiento del malware, evaluamos que SysJoker persigue objetivos específicos".

La compañía de ciberseguridad israelí, atribuyendo el trabajo a un actor de amenazas avanzado, dijo que descubrió por primera vez evidencia del implante en diciembre de 2021 durante un ataque activo contra un servidor web basado en Linux que pertenece a una institución educativa no identificada.

SysJoker backdoor

SysJoker, un malware basado en C++, se entrega a través de un archivo cuentagotas desde un servidor remoto que, al ejecutarse, está diseñado para recopilar información sobre el host comprometido, como la dirección MAC, el nombre de usuario, el número de serie del medio físico y la dirección IP, todo de los cuales se codifican y se transmiten de vuelta al servidor.

Además, las conexiones con el servidor controlado por el atacante se establecen extrayendo la URL del dominio de un enlace de Google Drive codificado que aloja un archivo de texto ("domain.txt"), permitiendo que el servidor transmita instrucciones a la máquina que permiten que el malware ejecute comandos y ejecutables arbitrarios, luego de lo cual se transmiten los resultados.

"El hecho de que el código se haya escrito desde cero y no se haya visto antes en otros ataques [y] no hayamos sido testigos de una segunda etapa o comando enviado por el atacante [...] sugiere que el ataque es específico, lo que generalmente se adapta a un actor avanzado", dijeron los investigadores.

Jesus_Caceres