Sebuah malware backdoor multi-platform baru bernama ‘SysJoker’ telah muncul di alam liar, menargetkan Windows, Linux, dan macOS dengan kemampuan untuk menghindari deteksi pada ketiga sistem operasi.
Penemuan malware baru ini berasal dari para peneliti di Intezer yang pertama kali melihat tanda-tanda aktivitasnya pada Desember 2021 setelah menyelidiki serangan terhadap server web berbasis Linux.
Unggahan pertama sampel malware pada VirusTotal terjadi pada H2 2021, yang juga sejalan dengan waktu pendaftaran domain C2.
Analis keamanan sekarang telah menerbitkan laporan teknis terperinci tentang SysJoker, yang mereka bagikan dengan Bleeping Computer sebelum dipublikasikan.
Joker yang tidak suka menarik perhatian
Malware ini ditulis dalam C ++, dan sementara setiap varian disesuaikan untuk sistem operasi yang ditargetkan, semuanya tidak terdeteksi pada VirusTotal, situs pemindaian malware online yang menggunakan 57 mesin deteksi antivirus yang berbeda.
Pada Windows, SysJoker menggunakan dropper tahap pertama dalam bentuk DLL, yang menggunakan perintah PowerShell untuk melakukan hal berikut:
- mengambil SysJoker ZIP dari repositori GitHub,
- unzip pada “C:ProgramDataRecoverySystem”,
- mengeksekusi payload.
Malware kemudian tidur hingga dua menit sebelum membuat direktori baru dan menyalin dirinya sebagai Intel Graphics Common User Interface Service (“igfxCUIService.exe”).
Selanjutnya, SysJoker akan mengumpulkan informasi tentang mesin menggunakan perintah Living off the Land (LOtL). SysJoker menggunakan file teks sementara yang berbeda untuk mencatat hasil perintah,” jelas laporan Intezer.
File teks ini segera dihapus, disimpan dalam objek JSON dan kemudian dikodekan dan ditulis ke file bernama “microsoft_Windows.dll”.
Setelah mengumpulkan data sistem dan jaringan, malware akan menciptakan kegigihan dengan menambahkan kunci registri baru (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Waktu tidur acak diselingi di antara semua fungsi yang mengarah ke titik ini.
Langkah selanjutnya untuk malware adalah menjangkau server C2 yang dikendalikan aktor, dan untuk ini, ia menggunakan tautan Google Drive yang dikodekan dengan kode keras.
Tautan ini menghosting file “domain.txt” yang diperbarui oleh para aktor secara teratur untuk menyediakan server yang tersedia ke suar langsung. Daftar ini terus berubah untuk menghindari deteksi dan pemblokiran.
Informasi sistem yang dikumpulkan pada tahap pertama infeksi dikirim sebagai jabat tangan pertama ke C2. C2 menjawab dengan token unik yang berfungsi sebagai pengenal titik akhir yang terinfeksi.
Dari sana, C2 dapat menginstruksikan backdoor untuk menginstal malware tambahan, menjalankan perintah pada perangkat yang terinfeksi, atau memerintahkan backdoor untuk menghapus dirinya dari perangkat. Namun, dua instruksi terakhir itu belum dilaksanakan.
Deteksi dan pencegahan
Intezer telah memberikan indikator kompromi penuh (IOCs) dalam laporan mereka yang dapat digunakan admin untuk mendeteksi keberadaan SysJoker pada perangkat yang terinfeksi.
Di bawah ini, kami telah menguraikan beberapa IOC untuk setiap sistem operasi.
Pada Windows, file malware terletak di bawah folder “C:ProgramDataRecoverySystem”, di C:ProgramDataSystemDataigfxCUIService.exe, dan C:ProgramDataSystemDatamicrosoft_Windows.dll. Untuk ketekunan, malware menciptakan nilai Autorun “Run” dari “igfxCUIService” yang meluncurkan igfxCUIService.exe malware executable.
Di Linux, file dan direktori dibuat di bawah “/. Perpustakaan / “sementara ketekunan didirikan dengan menciptakan pekerjaan cron berikut: @reboot (/. Library/SystemServices/updateSystem).
Di macOS, file dibuat pada “/Library/” dan kegigihan dicapai melalui LaunchAgent di bawah jalur: /Library/LaunchAgents/com.apple.update.plist.
Domain C2 yang dibagikan dalam laporan Intezer adalah sebagai berikut:
https[://]bookitlab[.] Tech
https[://]winaudio-tools[.] Com
https[://]graphic-updater[.] Com
https[://]github[.] url-mini[.] Com
https[://]office360-update[.] Com
https[://]drive[.] google[.] com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
https[://]drive[.] google[.] com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu
Jika Anda menemukan bahwa Anda telah dikompromikan oleh SysJoker, ikuti tiga langkah ini:
- Matikansemua proses yang terkait dengan malware dan secara manual menghapus file.
- Jalankan pemindai memori untuk memastikan bahwa semua file berbahaya telah dicabut dari sistem yang terinfeksi.
- Selidiki titik masuk potensial, periksa konfigurasi firewall, dan perbarui semua alat perangkat lunak ke versi terbaru yang tersedia.
Sumber: Bleepingcomputer
