El backdoor Sysjoker, recientemente descubierto, apunta a dispositivos Windows, Linux y Mac

Los investigadores han descubierto un malware previamente no documentado. Llamado SysJoker, este backdoor está escrito en C++ y se dirige a los sistemas Windows, Linux y Mac.

Según Intezer, el malware SysJoker se detectó por primera vez en diciembre de 2021. El malware se carga en VirusTotal con el sufijo .ts que se usa para archivos TypeScript y posiblemente se distribuya a través de un paquete npm infectado.

Sin embargo, estuvo bajo el lente de los investigadores durante una investigación de un ataque dirigido a servidores basados ​​en Linux de una institución educativa líder.

Los investigadores afirman que los atacantes detrás de SysJoker son máquinas bastante activas e infectantes.

El desarrollo viene luego de los frecuentes cambios observados en el servidor C2 utilizado por los operadores.

Además, según el comportamiento del malware, los investigadores evalúan que SysJoker persigue objetivos específicos, ya que es similar para los tres sistemas operativos, con la excepción del uso de un cuentagotas de primera etapa en la versión de Windows.

Una vez que encuentra un objetivo, SysJoker se hace pasar por una actualización del sistema y genera su C2 al decodificar una cadena recuperada de un archivo de texto alojado en Google Drive.

Utiliza los comandos Living off the Land (LotL) para recopilar información del sistema, como la dirección MAC, los nombres de usuario, el número de serie del medio físico y la dirección IP.

Los usuarios o administradores pueden usar escáneres de memoria para detectar la carga útil de SysJoker. También pueden usar contenido de detección para buscar plataformas de detección y respuesta de puntos finales (EDR) y gestión de eventos e información de seguridad (SIEM).