Pesquisadores de cibersegurança lançaram luz sobre uma versão em Rust de um backdoor multiplataforma chamado SysJoker, que se acredita ter sido usada por um ator de ameaças afiliado ao Hamas para visar Israel em meio à guerra em curso na região.
"Dentre as mudanças mais proeminentes está a mudança para a linguagem Rust, o que indica que o código do malware foi totalmente reescrito, mantendo ainda funcionalidades similares", disse a Check Point em uma análise de quarta-feira.
"Além disso, o ator da ameaça passou a usar o OneDrive em vez do Google Drive para armazenar URLs dinâmicos do C2 (servidor de comando e controle)".
O SysJoker foi publicamente documentado pela Intezer em janeiro de 2022, descrevendo-o como um backdoor capaz de coletar informações do sistema e estabelecer contato com um servidor controlado pelo invasor, acessando um arquivo de texto hospedado no Google Drive que contém uma URL codificada em disco.
"Ser multiplataforma permite aos autores de malware tirar vantagem de uma infecção ampla em todas as principais plataformas", disse a VMware no ano passado.
"SysJoker tem a capacidade de executar comandos remotamente, bem como baixar e executar novo malware nas máquinas das vítimas".
A descoberta de uma variante Rust de SysJoker aponta para uma evolução da ameaça multiplataforma, com o implante usando intervalos aleatórios de sono em várias fases de sua execução, provavelmente em um esforço para evadir sandboxes.
Uma mudança notável é o uso do OneDrive para recuperar o endereço do servidor C2 criptografado e codificado, que é subsequentemente analisado para extrair o endereço IP e a porta a serem usados.
"Usar o OneDrive permite aos invasores alterar facilmente o endereço do C2, o que lhes permite ficar à frente de diferentes serviços baseados em reputação", disse a Check Point.
"Esse comportamento permanece consistente nas diferentes versões do SysJoker."
Após estabelecer conexões com o servidor, o artefato aguarda mais cargas de trabalho adicionais que são então executadas no hospedeiro comprometido.
A empresa de cibersegurança disse que também descobriu duas amostras do SysJoker nunca vistas antes, projetadas para o Windows, que são significativamente mais complexas, uma das quais utiliza um processo de execução em várias etapas para lançar o malware.
O SysJoker ainda não foi formalmente atribuído a nenhum ator ou grupo de ameaças.
Mas novas evidências reunidas mostram sobreposições entre o backdoor e as amostras de malware usadas em conexão com a Operação Electric Powder, que se refere a uma campanha direcionada contra organizações israelenses entre abril de 2016 e fevereiro de 2017.
Esta atividade foi ligada pela McAfee a um ator de ameaças afiliado ao Hamas conhecido como Molerats (também conhecido como Extreme Jackal, Gaza Cyber Gang e TA402).
"Ambas as campanhas usaram URLs temáticos de API e implementaram comandos de script de maneira semelhante", observou o Check Point, levantando a possibilidade de que "o mesmo ator é responsável por ambos os ataques, apesar do grande intervalo de tempo entre as operações".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...