Il nuovo virus è stato scoperto dai ricercatori di Intezer che hanno notato per la prima volta le prove della sua attività nel dicembre 2021 durante la ricerca di un attacco a un server Web basato su Linux.
Dopo alcune indagini è emerso che la sua diffusione è iniziata durante la seconda metà del 2021. SysJoker si maschera come un aggiornamento di sistema e genera il suo C2 decodificando una stringa recuperata da un file di testo hostato su Google Drive. La buona notizia è che SysJoker non è un attacco che può essere lanciato da remoto deve essere attivamente scaricato e installato.
Il malware è scritto in C++ e ogni variante è adattata al sistema operativo di destinazione. Tutti loro non sono rilevabili da VirusTotal, il sito di scansione di malware online che utilizza circa 57 diversi motori di rilevamento antivirus.
Intezer osserva anche che è scritto completamente da zero, non riusando codice di altri malware come succede spesso; e per tre sistemi operativi diversi.
Il comportamento di SysJoker è simile per tutti e tre i sistemi operativi, secondo Intezer, con l'eccezione che la versione Windows utilizza un dropper come prima fase sotto forma di DLL ed utilizza PowerShell per eseguire le seguenti operazioni:
Scarica lo zip di SysJoker da GitHub e lo decomprime su "C:\ProgramDataRecoverySystem" esguendo il payload.
Dopo l'esecuzione il malware attende circa due minuti; successivamente creerà la directory C:\ProgramData\SystemData\ e si copierà lì usando il nome del file "igfxCUIService.exe" - mascherandosi come "Intel Graphics Common User Interface Service".
Successivamente, SysJoker utilizzerà le istruzioni Living Off the Land (LOtL) per acquisire informazioni sulla macchina. Una volta avuti i risultati dei comandi, SysJoker utilizza vari file di testo temporanei per memorizzarli.
Questi file vengono inseriti in un oggetto JSON codificato e chiamato "microsoft_Windows.dll", successivamente i file di testo verranno completamente dstrutti.
Il malware sviluppa la persistenza inserendo una nuova voce di registro ("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run") dopo aver raccolto i dati di sistema e di rete. Tutte le funzioni che portano a questo punto sono intervallate da un ritardo casuale.
Il passo successivo del malware è connettersi al server C2 controllato dall'attore, cosa che fa tramite un URL di Google Drive hardcoded.
L'URL punta a un file "domain.txt" che gli attori cambiano regolarmente per mantenere i beacon attivi collegati ai server disponibili. Per evitare il rilevamento e il blocco. Questo elenco viene aggiornato regolarmente.
Come prima contatto, le informazioni di sistema raccolte nelle prime fasi dell'infezione vengono trasmesse al C2. Il C2 risponde con un token unico che funge da identificazione dell'endpoint infetto.
Il C2 può quindi indirizzare la backdoor per installare ulteriori malware, eseguire comandi sul dispositivo infetto o eliminare la backdoor dal dispositivo. Queste ultime due direttive, tuttavia, devono ancora essere attuate.
Nonostante la mancanza di un dropper in prima fase sotto forma di DLL nelle varianti Linux e macOS, alla fine, conducono lo stesso comportamento dannoso sul dispositivo infetto.
Windows
I file SysJoker sono archiviati in "C:\ProgramData%%igfxCUIService.exe" e "C: ProgramData %% microsoft_Windows.dll" nella cartella "C: ProgramData \ RecoverySystem". SysJoker crea un'impostazione di esecuzione automatica denominata 'igfxCUIService' per la persistenza e avvia un file eseguibile di malware chiamato igfxCUIService.exe.
MacOS
Il file SysJoker viene creato in '/Library/' e persiste in '/Library/LaunchAgents/com.apple.update.plist' tramite LaunchAgent.
Linux
I file e le directory SysJoker vengono creati in '/.Library/' e resi persistenti creando il seguente processo cron.
@reboot (/.Library/SystemServices/updateSystem)
Bleeping Computer ti consiglia inoltre di eseguire i seguenti passaggi se ti ritrovi infettato da SysJoker.
1: Elimina tutti i processi relativi al malware ed elimina manualmente le directory e i file di persistenza di SysJoker.
2: Esegui lo scanner della memoria e assicurati che tutti i file dannosi siano stati sradicati dal tuo sistema.
3: Esamina il punto di ingresso del malware, controlla la configurazione del firewall e aggiorna tutto il software all'ultima versione disponibile.