Detección de Malware SysJoker

¡Año nuevo, nuevo comienzo! Y para los actores de amenazas también. Conozca un nuevo malware de puerta trasera que ha estado impactando cada vez más el dominio cibernético en los últimos meses. Bautizado SysJoker, la amenaza adquiere poderosas capacidades de evasión mientras es capaz de dirigirse a los principales sistemas operativos, incluidos Windows, Linux y macOS.

Análisis de Malware SysJoker

El malware SysJoker se detectó por primera vez en diciembre de 2021, mientras que los expertos en seguridad de Intezer estaban investigando un ataque contra un servidor basado en Linux de una institución educativa no identificada. análisis de SysJoker revela que se sospecha que la nueva amenaza se utiliza para ciberespionaje y entrega de cargas útiles de segunda etapa. El malware es capaz de proporcionar acceso de puerta trasera a sistemas Linux, macOS y Windows, otorgando a sus mantenedores la capacidad de ejecutar comandos, descargar y subir archivos.

Aunque escrito desde cero para los sistemas operativos principales, SysJoker muestra un comportamiento similar en todas las plataformas principales. Al obtener el acceso inicial en la instancia objetivo, la puerta trasera puede recopilar datos del sistema, obtener persistencia y comunicarse con el servidor de comando y control (C&C) bajo el control de los atacantes. Dependiendo de las instrucciones recibidas de los operadores de SysJoker a través del servidor C&C, la amenaza puede soltar y ejecutar cargas maliciosas así como ejecutar comandos adicionales. Cabe destacar que los investigadores identificaron que SysJoker mantiene soporte para dos comandos previamente no implementados, supuestamente diseñados para autodestrucción.

Los expertos en seguridad sugieren que SysJoker fue desarrollado por adversarios altamente sofisticados ya que el nuevo malware no tiene coincidencias de código con ninguna otra amenaza existente, obtiene impresionantes capacidades de evasión y se utiliza exclusivamente en ataques dirigidos. Además, el código de SysJoker se desarrolla desde cero para todos los sistemas operativos objetivo.

Cadena de Ataque y Capacidades Maliciosas

Intezer advierte que SysJoker, cuando apunta a sistemas macOS y Linux, se disfraza como una actualización del sistema. Para las instancias de Windows, los operadores utilizan otro truco, disfrazando la amenaza como un controlador de Intel. Es notable que los nombres de los controladores falsos son bastante genéricos, con la mayoría de ellos siendo promovidos como “updateMacOS”, “updateSystem”, etc.

Tras la infección inicial, SysJoker comienza a recopilar datos del sistema y de la red a través de comandos Living off the Land (LotL). Los datos se registran y transfieren inmediatamente al servidor C&C. En la siguiente etapa, el malware refuerza su posición, agregando nuevas entradas a una clave del registro. Finalmente, el malware se conecta al servidor C&C de los atacantes utilizando un enlace de Google Drive codificado para recibir instrucciones adicionales.

SysJoker comenzó a ser activamente aprovechado por adversarios en la segunda mitad de 2021, con los operadores de malware siendo particularmente atentos al elegir sus víctimas. De hecho, se detectó un pequeño número de muestras de SysJoker activa, lo que señala la naturaleza dirigida de las campañas.

Por otro lado, el malware pasó desapercibido durante casi medio año debido a sus capacidades de evasión. En particular, los actores de amenazas han puesto mucho esfuerzo en ofuscar dominios de servidor C&C dedicados. Los dominios se obtienen dinámicamente de un enlace de Google Drive, lo que facilita la actualización de la dirección. Además, el tráfico hacia Google Drive generalmente no se considera sospechoso en una red.

Detección del Malware de Puerta Trasera SysJoker

A medida que este nuevo y sigiloso malware SysJoker está abriendo el camino para comprometer máquinas que ejecutan macOS, Windows y Linux, es hora de reforzar eficientemente contra este backdoor multiplataforma. Para identificar posibles ataques, opte por descargar un conjunto de reglas Sigma gratuitas del equipo de SOC Prime que detectan patrones de comportamiento del backdoor SysJoker.

SysJoker Backdoor C2 (a través de proxy)

SysJoker Backdoor C2 (a través de dns)

Patrones de Detección de Backdoor de Windows SysJoker (a través de cmdline)

Patrones de Detección de Backdoor de Windows SysJoker (a través de file_event)

Patrones de Detección de Backdoor de MacOS SysJoker (a través de file_event)

Patrones de Detección de Backdoor de Linux SysJoker (a través de file_event)

Estas detecciones tienen traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Sysmon, Qualys, Securonix, y Open Distro.

La lista completa de detecciones en el repositorio de Threat Detection Marketplace de la plataforma SOC Prime está disponible aquí.

¿Ansioso por buscar las últimas amenazas, automatizar la investigación de amenazas y obtener retroalimentación y verificación por más de 20,000 profesionales de seguridad de la comunidad? Únete a SOC Prime, la primera plataforma mundial para defensa cibernética colaborativa, caza de amenazas y descubrimiento que se integra con más de 20 plataformas SIEM, EDR, XDR. Haz más fácil, rápido y sencillo tu detección de amenazas. ¿Tienes grandes ambiciones en ciberseguridad? Únete a nuestro programa Threat Bounty, desarrolla tus propias reglas Sigma, ¡y obtén recompensas recurrentes por tu valiosa contribución!

Ir a la Plataforma Unirse a Threat Bounty