Tecnologia

Detecta puertas traseras peligrosas para Windows, macOS y Linux

Este tipo de malware de puerta trasera actualmente está siendo atacado activamente en Windows, Linux y macOS, las tres plataformas más populares para sistemas operativos de computadoras en el mundo, con capacidades de evasión de detección extremadamente sofisticadas.

En caso de que no lo sepa, una puerta trasera es una herramienta (programa o relacionada con un programa) que los piratas informáticos usan para instalar en un sistema para eludir de forma remota las barreras de seguridad en un dispositivo o software. Debido a que el sistema de seguridad de la computadora no puede ver la puerta trasera, es posible que las víctimas no se den cuenta de que su computadora tiene esta peligrosa vulnerabilidad. En otras palabras, los usuarios no sabrán si hay una puerta trasera en su sistema hasta que se abra.

Encontrar puertas traseras en dispositivos suele ser muy difícil. El nuevo malware fue descubierto y nombrado por investigadores de Intezer, quienes vieron por primera vez signos de su actividad después de investigar un ataque a gran escala en servidores web basados ​​en Linux en diciembre de 2021.

Al igual que otros tipos de puertas traseras, el temor de SysJoker es que es muy bueno para evitar la detección, lo que le permite causar daños ocultos a largo plazo sin que la víctima se dé cuenta.

No me gustan los «payasos» de alto rango.

El software malicioso está escrito en C ++. En particular, estará disponible en muchas variantes diferentes, cada una de las cuales está ajustada para adaptarse a cada sistema operativo al que se dirige. Vale la pena mencionar que ninguno de ellos se encontró en VirusTotal, un popular sitio de escaneo de malware en línea que utiliza 57 máquinas antivirus diferentes.

En Windows, SysJoker usa comandos de PowerShell para realizar las siguientes tareas maliciosas:

  1. Obtenga SysJoker ZIP del almacenamiento de GitHub.
  2. Descomprímelo en «C:/ProgramData/RecoverySystem/».
  3. Despliegue de la carga útil.

Luego, el malware «duerme» durante un máximo de 2 minutos, luego crea una nueva carpeta y la copia como el servicio Intel Graphics Common User Interface («igfxCUIService.exe»).


SysJoker luego usará una serie de Comandos fuera de la Tierra (LOtL) para recopilar información sobre la máquina. SysJoker utiliza varios archivos de texto temporales para registrar los resultados de los comandos. Estos archivos de texto se eliminan inmediatamente, se almacenan en un objeto JSON, luego se cifran y se guardan en un archivo llamado «microsoft_Windows.dll».

Después de recopilar datos del sistema y de la red, el malware mejora su estabilidad al agregar nuevas claves de registro:

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run

El siguiente paso en el malware es usar una conexión de Google Drive codificada para acceder a un servidor C2 controlado por piratas informáticos.

Figura 2 Detección de puertas traseras peligrosas para Windows, macOS y Linux

Esta asociación aloja el archivo «domain.txt», que el agente actualiza periódicamente para que el servidor esté disponible para la señalización en tiempo real. Esta lista cambia constantemente para evitar la detección y el bloqueo.

La información del sistema recopilada durante la primera etapa de la infección se envía a C2 como un primer apretón de manos. C2 responde con un token único como identificador del punto final comprometido.

A partir de ahí, C2 puede ordenar a la puerta trasera que instale más malware, ejecutar comandos en el dispositivo infectado e incluso ordenar que la puerta trasera se elimine del dispositivo.

Figura 3 Detección de puertas traseras peligrosas para Windows, macOS y Linux

El mismo proceso se puede encontrar en las versiones de Linux y macOS.

detección y prevención

Intezer proporciona indicadores completos de compromiso (IOC) en su informe. Esto permite que los administradores lo utilicen para detectar la presencia de SysJoker en su sistema.

Aquí hay algunos IOC para cada sistema operativo:

En Windows, los archivos de malware se encuentran en las siguientes carpetas:

C:/ProgramData/RecoverySystem at C:/ProgramData/SystemData/igfxCUIService.exe and C:/ProgramData/SystemData/microsoft_Windows.dll

Para sobrevivir a largo plazo, el malware genera un valor de inicio automático «igfxCUIService» para ejecutar el ejecutable igfxCUIService.exe.

En Linux, los archivos y directorios se crean en «/.Library/». Establezca la coherencia de la puerta trasera creando la siguiente tarea cron: @reboot (/.Library/SystemServices/updateSystem).

En macOS, los archivos se crean en «/Biblioteca/» y LaunchAgent los estabiliza de la siguiente manera: /Librería/LaunchAgents/com.apple.update.plist.

Los dominios C2 compartidos en el informe de Intezer son los siguientes:

  1. https[://]libroitlab[.]tecnología
  2. https[://]winaudiotools[.]y
  3. https[://]programa de actualizacion grafica[.]y
  4. https[://]github[.]URL pequeña[.]y
  5. https[://]actualización de office360[.]y
  6. https[://]conduzco[.]Google[.]com/uc?export=descarga & id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
  7. https[://]conduzco[.]Google[.]com/uc?export=descarga & id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

Si encuentra que su sistema ha sido comprometido por SysJoker, siga estos 3 pasos:

  1. Elimine todos los procesos relacionados con el malware y elimine los archivos vinculados manualmente y los mecanismos persistentes.
  2. Ejecute un escáner de memoria para asegurarse de que todos los archivos maliciosos sean «expulsados» del sistema.
  3. Investigue posibles puntos de entrada, verifique las configuraciones del firewall y actualice todas las herramientas de software a las últimas versiones disponibles.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!