Solitamente i malware prendono di mira singoli sistemi operativi, ma negli ultimi anni è aumentato il numero degli attacchi multi-piattaforma. Uno dei più recenti è stato effettuato con la backdoor SysJocker per Windows, macOS e Linux. Gli esperti di Intezer hanno pubblicato un’analisi tecnica della versione Windows, ma il funzionamento è simile sugli altri sistemi operativi.
SysJocker: backdoor multi-piattaforma
Le prime tracce di SysJoker sono state scoperte durante un attacco contro un server web Linux di un’istituzione educativa. Successivamente (dicembre 2021) sono state individuate anche versioni per Windows e macOS. Come si deduce dal nome, la backdoor viene installata insieme ad un falso aggiornamento del sistema operativo. Il malware è stato scritto in C++.
A differenza delle versioni per macOS e Linux, SysJoker per Windows contiene un “first-stage dropper”, ovvero una DLL che scarica un file ZIP con il malware da una repository di GitHub, apre l’archivio ed esegue la backdoor, utilizzando comandi PowerShell. Dopo circa 90-120 secondi, una copia di SySJocker viene salvata nella directory C:\ProgramData\SystemData\
con il nome igfxCUIService.exe
(Intel Graphics Common User Interface Service).
Inizia quindi la raccolta delle informazioni che vengono prima copiate in file di testo e successivamente in un oggetto JSON cifrato che viene nominato come microsoft_Windows.dll
. Dopo aver aggiunto una chiave di registro per l’esecuzione automatica all’avvio, SySJoker invia i dati ad un server remoto. L’elenco dei domini è contenuto in un file di testo ospitato su Google Drive. La backdoor può installare altri malware, eseguire comandi e anche cancellare se stessa dal dispositivo per evitare di essere rilevata.