Recenti ricerche nel campo della cybersecurity hanno rivelato una versione in Rust di una backdoor multipiattaforma chiamata SysJoker, utilizzata presumibilmente da un attore di minaccia affiliato a Hamas per prendere di mira Israele nel contesto del conflitto in corso nella regione.
Cambiamenti significativi nel malware
Una delle modifiche più rilevanti è il passaggio al linguaggio di programmazione Rust, indicando che il codice del malware è stato completamente riscritto, pur mantenendo funzionalità simili. Inoltre, l’attore di minaccia ha iniziato a utilizzare OneDrive invece di Google Drive per memorizzare gli URL dinamici del server di comando e controllo (C2).
Caratteristiche di SysJoker
SysJoker è stato documentato pubblicamente da Intezer nel gennaio 2022, descrivendolo come un backdoor in grado di raccogliere informazioni di sistema e stabilire un contatto con un server controllato dall’attaccante, accedendo a un file di testo ospitato su Google Drive che contiene un URL codificato. Essendo multipiattaforma, SysJoker può infettare tutti i principali sistemi operativi, eseguire comandi a distanza e scaricare ed eseguire nuovo malware sulle macchine vittime.
Evoluzione e tecniche di evasione
La scoperta di una variante in Rust di SysJoker segnala un’evoluzione della minaccia cross-platform. Questa versione impiega intervalli di attesa casuali a vari stadi della sua esecuzione, probabilmente per evitare di essere rilevata dai sandbox. Un cambiamento notevole è l’uso di OneDrive per recuperare l’indirizzo del server C2 criptato e codificato, che viene poi analizzato per estrarre l’indirizzo IP e la porta da utilizzare.
Ulteriori dettagli e collegamenti
La società di cybersecurity ha anche scoperto due campioni di SysJoker per Windows mai visti prima, significativamente più complessi, uno dei quali utilizza un processo di esecuzione multi-stadio per lanciare il malware. Sebbene SysJoker non sia stato formalmente attribuito a nessun attore o gruppo di minaccia, nuove prove mostrano sovrapposizioni tra il backdoor e campioni di malware utilizzati in connessione con l’Operazione Electric Powder, una campagna mirata contro organizzazioni israeliane tra aprile 2016 e febbraio 2017, collegata da McAfee a un attore di minaccia affiliato a Hamas noto come Molerats.
Queste rivelazioni sottolineano l’importanza di una vigilanza costante nel campo della cybersecurity, specialmente in contesti di conflitti geopolitici, dove gli attacchi informatici possono avere un impatto significativo.