Cybersecurity

Nuevo Malware Multiplataforma

Marketing ETEK
enero 14, 2022 0 Comments

Se ha detectado un nuevo malware llamado SysJoker, el cual afecta Windows, Linux y Mac, y está orientado al espionaje ya que una vez ha infectado al host recolecta información como la dirección IP, dirección MAC, seriales, e información de la cuenta de usuario entre otros. El malware se hace pasar por una actualización del sistema para que sea ejecutado por el usuario final y así comenzar con el vector de ataque. A continuación, se describe en detalle el vector de ataque para el caso de máquinas windows:

  • Inicialmente un troyano descarga un archivo comprimido, el cualposteriormente es copiado y extraído en una carpeta de propia delsistema operativo, lo cual se realiza a través de comandos powershell,Una vez se ha ejecutado se camufla como un servicio (igfxCUIService.exe),con el objetivo de simular el servicio “Intel Graphics Common UserInterface Service”,
  • Este es el servicio que recolecta toda la información del host/usuario y lacodifica en un archivo llamado Microsoft_winwows.dll.
  • Genera persistencia al crear una llave en el registro del sistema:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,la ejecución de todos estos pasos se realiza con intervalos aleatorios detiempo para no generar actividad sospechosa sobre el host infectado.
  • Luego de recolectar la información, el malware identifica las IP decomando y control mediante la descarga de un archivo de texto desde
    Google drive (domain.txt)

Vale la pena aclarar que los pasos descritos acá son ejecutados periódicamente con el objetivo de no generar tanta actividad sospechosa y así el malware sería fácilmente detectado, y adicionalmente en caso de no tener conexión con direcciones IP públicas valida nuevamente si se tienen nuevas IPs de C&C y así poder enviar la información recolectada.

Recomendaciones

  • Agregar y/o actualizar los indicadores de compromiso listados en este boletín en las diferentes plataformas de protección de la compañía, perimetrales o de endpoint.
  • En el caso de Windows, y en caso de no ser requerido por el negocio se debe deshabilitar el uso de powershell.
  • Validar el detalle del rastro que deja el malware por cada S.O y que se encuentran en los links en este boletín.

Indicadores de Compromiso (IOCs)

  • bd0141e88a0d56b508bc52db4dab68a49b6027a486e4d9514ec0db006fe71eed
  • d028e64bf4ec97dfd655ccd1157a5b96515d461a710231ac8a529d7bdb936ff3
  • 1a9a5c797777f37463b44de2b49a7f95abca786db3977dcdac0f79da739c08ac
  • 61df74731fbe1eafb2eb987f20e5226962eeceef010164e41ea6c4494a4010fc1ffd6559d21470c40dcf9236da51e5823d7ad58c93502279871c3fe7718c901c

Comando y Control:

  • https[://]bookitlab[.]tech
  • https[://]winaudio-tools[.]com
  • https[://]graphic-updater[.]com
  • https[://]github[.]url-mini[.]com
  • https[://]office360-update[.]com
  • https[://]drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
  • https[://]drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QAeBQu-ePr537eu

Para más información puede consultar las siguientes fuentes asociadas a la noticia: