Los investigadores de ciberseguridad han arrojado luz sobre una versi\u00f3n Rust de una puerta trasera multiplataforma llamada SysJoker<\/strong>que se considera que ha sido utilizado por un actor de amenazas afiliado a Hamas para atacar a Israel en medio de la guerra en curso en la regi\u00f3n.<\/p>\n “Entre los cambios m\u00e1s destacados est\u00e1 el cambio al lenguaje Rust, lo que indica que el c\u00f3digo del malware se reescribi\u00f3 por completo, manteniendo funcionalidades similares”, Check Point dicho<\/a> en un an\u00e1lisis del mi\u00e9rcoles. “Adem\u00e1s, el actor de amenazas pas\u00f3 a utilizar OneDrive en lugar de Google Drive para almacenar URL din\u00e1micas C2 (servidor de comando y control)”.<\/p>\n SysJoker fue documentado p\u00fablicamente por Intezer en enero de 2022, describi\u00e9ndolo como una puerta trasera capaz de recopilar informaci\u00f3n del sistema y establecer contacto con un servidor controlado por un atacante accediendo a un archivo de texto alojado en Google Drive que contiene una URL codificada.<\/p>\n “Al ser multiplataforma, los autores de malware pueden aprovechar una infecci\u00f3n amplia en todas las plataformas principales”, VMware dicho<\/a> el a\u00f1o pasado. “SysJoker tiene la capacidad de ejecutar comandos de forma remota, as\u00ed como descargar y ejecutar nuevo malware en las m\u00e1quinas v\u00edctimas”.<\/p>\n El descubrimiento de una variante Rust de SysJoker apunta a una evoluci\u00f3n de la amenaza multiplataforma, con el implante empleando intervalos de sue\u00f1o aleatorios en varias etapas de su ejecuci\u00f3n, probablemente en un esfuerzo por evadir las zonas de pruebas.<\/p>\n Un cambio digno de menci\u00f3n es el uso de OneDrive para recuperar la direcci\u00f3n del servidor C2 cifrada y codificada, que posteriormente se analiza para extraer la direcci\u00f3n IP y el puerto que se utilizar\u00e1n.<\/p>\n “El uso de OneDrive permite a los atacantes cambiar f\u00e1cilmente la direcci\u00f3n C2, lo que les permite adelantarse a diferentes servicios basados \u200b\u200ben reputaci\u00f3n”, afirm\u00f3 Check Point. “Este comportamiento sigue siendo constante en las diferentes versiones de SysJoker”. <\/p>\n Despu\u00e9s de establecer conexiones con el servidor, el artefacto espera m\u00e1s cargas adicionales que luego se ejecutan en el host comprometido.<\/p>\n La compa\u00f1\u00eda de ciberseguridad dijo que tambi\u00e9n descubri\u00f3 dos muestras de SysJoker nunca antes vistas dise\u00f1adas para Windows que son significativamente m\u00e1s complejas, una de las cuales utiliza un proceso de ejecuci\u00f3n de m\u00faltiples etapas para lanzar el malware.<\/p>\n SysJoker a\u00fan no ha sido atribuido formalmente a ning\u00fan actor o grupo de amenazas. Pero la evidencia recientemente reunida muestra superposiciones entre la puerta trasera y las muestras de malware utilizadas en relaci\u00f3n con Operaci\u00f3n Polvo El\u00e9ctrico<\/a>que se refiere a una campa\u00f1a dirigida contra organizaciones israel\u00edes entre abril de 2016 y febrero de 2017.<\/p>\n Esta actividad fue vinculado<\/a> por McAfee a un Actor de amenazas afiliado a Ham\u00e1s<\/a> conocido como Molerats (tambi\u00e9n conocido como Extreme Jackal, Gaza Cyber \u200b\u200bGang y TA402).<\/p>\n “Ambas campa\u00f1as utilizaron URL con tem\u00e1tica API e implementaron comandos de script de manera similar”, se\u00f1al\u00f3 Check Point, planteando la posibilidad de que “el mismo actor sea responsable de ambos ataques, a pesar del gran intervalo de tiempo entre las operaciones”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Ciberataques-vinculados-a-Hamas-utilizando-la-puerta-trasera-SysJoker-impulsada.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n