Los investigadores de ciberseguridad han arrojado luz sobre una versión Rust de una puerta trasera multiplataforma llamada SysJokerque se considera que ha sido utilizado por un actor de amenazas afiliado a Hamas para atacar a Israel en medio de la guerra en curso en la región.
«Entre los cambios más destacados está el cambio al lenguaje Rust, lo que indica que el código del malware se reescribió por completo, manteniendo funcionalidades similares», Check Point dicho en un análisis del miércoles. «Además, el actor de amenazas pasó a utilizar OneDrive en lugar de Google Drive para almacenar URL dinámicas C2 (servidor de comando y control)».
SysJoker fue documentado públicamente por Intezer en enero de 2022, describiéndolo como una puerta trasera capaz de recopilar información del sistema y establecer contacto con un servidor controlado por un atacante accediendo a un archivo de texto alojado en Google Drive que contiene una URL codificada.
«Al ser multiplataforma, los autores de malware pueden aprovechar una infección amplia en todas las plataformas principales», VMware dicho el año pasado. «SysJoker tiene la capacidad de ejecutar comandos de forma remota, así como descargar y ejecutar nuevo malware en las máquinas víctimas».
El descubrimiento de una variante Rust de SysJoker apunta a una evolución de la amenaza multiplataforma, con el implante empleando intervalos de sueño aleatorios en varias etapas de su ejecución, probablemente en un esfuerzo por evadir las zonas de pruebas.
Un cambio digno de mención es el uso de OneDrive para recuperar la dirección del servidor C2 cifrada y codificada, que posteriormente se analiza para extraer la dirección IP y el puerto que se utilizarán.
«El uso de OneDrive permite a los atacantes cambiar fácilmente la dirección C2, lo que les permite adelantarse a diferentes servicios basados en reputación», afirmó Check Point. «Este comportamiento sigue siendo constante en las diferentes versiones de SysJoker».
Después de establecer conexiones con el servidor, el artefacto espera más cargas adicionales que luego se ejecutan en el host comprometido.
La compañía de ciberseguridad dijo que también descubrió dos muestras de SysJoker nunca antes vistas diseñadas para Windows que son significativamente más complejas, una de las cuales utiliza un proceso de ejecución de múltiples etapas para lanzar el malware.
SysJoker aún no ha sido atribuido formalmente a ningún actor o grupo de amenazas. Pero la evidencia recientemente reunida muestra superposiciones entre la puerta trasera y las muestras de malware utilizadas en relación con Operación Polvo Eléctricoque se refiere a una campaña dirigida contra organizaciones israelíes entre abril de 2016 y febrero de 2017.
Esta actividad fue vinculado por McAfee a un Actor de amenazas afiliado a Hamás conocido como Molerats (también conocido como Extreme Jackal, Gaza Cyber Gang y TA402).
«Ambas campañas utilizaron URL con temática API e implementaron comandos de script de manera similar», señaló Check Point, planteando la posibilidad de que «el mismo actor sea responsable de ambos ataques, a pesar del gran intervalo de tiempo entre las operaciones».