Home Ciberguerra Ciberataques vinculados a Hamás, utilizan puerta trasera SysJoker contra Israel

Ciberataques vinculados a Hamás, utilizan puerta trasera SysJoker contra Israel

Investigadores de ciberseguridad han arrojado luz sobre una versión Rust de una puerta trasera multiplataforma llamada SysJoker, que se estima que fue utilizada por un actor de amenazas afiliado a Hamas para atacar a Israel en medio de la guerra en curso en la región.

“Entre los cambios más destacados está el cambio al lenguaje Rust, lo que indica que el código de malware fue reescrito por completo, manteniendo funcionalidades similares”, dijo Check Point en un análisis del miércoles. “Además, el actor de amenazas pasó a utilizar OneDrive en lugar de Google Drive para almacenar URL dinámicas C2 (servidor de comando y control)”.

SysJoker fue documentado públicamente por Intezer en enero de 2022, describiéndolo como una puerta trasera capaz de recopilar información del sistema y establecer contacto con un servidor controlado por un atacante accediendo a un archivo de texto alojado en Google Drive que contiene una URL codificada.

“Ser multiplataforma permite a los autores de malware obtener ventaja de una infección amplia en todas las plataformas principales”, dijo VMware el año pasado. “SysJoker tiene la capacidad de ejecutar comandos de forma remota, así como descargar y ejecutar nuevo malware en las máquinas víctimas”.

El descubrimiento de una variante Rust de SysJoker apunta a una evolución de la amenaza multiplataforma, con el implante empleando intervalos de sueño aleatorios en varias etapas de su ejecución, probablemente en un esfuerzo por evadir los sandboxes.

Un cambio digno de mención es el uso de OneDrive para recuperar la dirección del servidor C2 cifrada y codificada, que posteriormente se analiza para extraer la dirección IP y el puerto que se utilizarán.

Después de establecer conexiones con el servidor, el artefacto espera más cargas adicionales que luego se ejecutan en el host comprometido.

La compañía de ciberseguridad dijo que también descubrió dos muestras de SysJoker nunca antes vistas diseñadas para Windows que son significativamente más complejas, una de las cuales utiliza un proceso de ejecución de múltiples etapas para lanzar el malware.

SysJoker aún no ha sido atribuido formalmente a ningún actor o grupo de amenazas. Pero la evidencia recientemente recopilada muestra superposiciones entre la puerta trasera y las muestras de malware utilizadas en relación con la Operación Polvo Eléctrico, que se refiere a una campaña dirigida contra organizaciones israelíes entre abril de 2016 y febrero de 2017.