SysJoker Backdoor

Une menace de porte dérobée pour la plupart non détectée nommée SysJoker menace les ordinateurs exécutant Windows, Linux et macOS. Le malware a été découvert par Intezer et, selon leurs conclusions, les variantes Linux et macOS sontcomplètement indétectable, tandis que celui de Windows a un taux de détection extrêmement faible.

La première attaque impliquant SysJoker a eu lieu en décembre 2021 et a ciblé un serveur Web Linux appartenant à un "établissement d'enseignement de premier plan". Les attaquants peuvent tirer parti de l'accès illicite établi via SysJoker de différentes manières. Ils peuvent déployer des menaces supplémentaires pour intensifier l'attaque, rechercher de nouvelles cibles ou même vendre l'accès de la porte dérobée à d'autres groupes de cybercriminels.

Détails techniques

Les données actuellement disponibles suggèrent que le vecteur d'attaque initial de SysJoker pourrait provenir d'un package npm menaçant. NPM signifie 'Node Package Manager, qui est le gestionnaire de packages par défaut en ce qui concerne le runtime de JavaScript Node.js. C'est également l'un des plus grands référentiels en ligne pour la publication de projets Node.js open source.

Le comportement de SysJoker est identique sous Linux et macOS, tandis que sous Windows, la menace utilise un compte-gouttes de première étape dédié. Une fois à l'intérieur de l'appareil ciblé, la porte dérobée restera d'abord en veille pendant une période aléatoire, comprise entre une minute et demie et deux minutes. SysJoker entrera dans ce mode inactif entre chaque étape de sa programmation infâme.

La menace créera le répertoire C:\ProgramData\SystemData\ et s'y copiera sous le nom « igfxCUIService.exe », une tentative d'apparaître comme le véritable service d'interface utilisateur commun Intel Graphics. Un mécanisme de persistance sera établi en injectant une nouvelle entrée dans 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.'

Le serveur et les commandes C2

SysJoker collectera diverses informations sur le système infecté. Les données collectées peuvent inclure l'adresse MAC de l'appareil, le nom d'utilisateur de l'adresse IP, etc. Ces données d'empreintes seront placées dans un fichier texte temporaireinitialement, puis stocké dans un objet JSON, et enfin encodé et écrit dans un fichier nommé « microsoft_Windows.dll ».

Avant que les données puissent être exfiltrées, SysJoker doit récupérer l'adresse de son serveur Command-and-Control (C2, C&C). La première étape du processus consiste à décoder un lien Google Drive codé en dur à l'aide d'une clé XOR qui est également codée en dur dans la menace. Le lien Drive mène à un fichier texte contenant une adresse C2 codée qui change dynamiquement. Après avoir établi une connexion réussie et envoyé les informations collectées sur la victime, SysJoker attendra des commandes supplémentaires.

La menace est capable de reconnaître plusieurs commandes différentes, mais certaines ('remover_reg' et 'exit') ne sont pas entièrement implémentées dans les versions actuelles de SysJoker. Les deux commandes activées sont « exe » et « cmd ». Grâce à la commande 'exe', les attaquants peuvent demander à SysJoker de récupérer puis d'exécuter des exécutables corrompus supplémentaires. La commande entrante inclura le répertoire où le fichier doit être déposé et son nom. La commande 'cmd' est chargée de recevoir puis d'exécuter des commandes arbitraires sur le système.