Uma nova versão do malware multiplataforma conhecido como ‘SysJoker’ foi detectada, apresentando uma reescrita completa do código na linguagem de programação Rust.
SysJoker é um malware furtivo para Windows, Linux e macOS documentado pela primeira vez por Intezer no início de 2022, que descobriu e analisou versões C++ na época.
O backdoor apresentava carregamento de carga útil na memória, uma infinidade de mecanismos de persistência, comandos “vivendo da terra” e uma completa falta de detecção para todas as suas variantes de sistema operacional no VirusTotal.
O exame das novas variantes baseadas em Rust pela Check Point estabeleceu uma conexão entre o backdoor anteriormente não atribuído e a 'Operação Electric Powder', que remonta a 2016-2017.
Esta operação envolveu uma série de ataques cibernéticos contra Israel, que se acredita terem sido orquestrados por um ator de ameaça afiliado ao Hamas conhecido como 'Gaza Cybergang'.
Novo SysJoker
A variante do SysJoker baseada em Rust foi submetida pela primeira vez ao VirusTotal em 12 de outubro de 2023, coincidindo com a escalada da guerra entre Israel e o Hamas.
O malware emprega intervalos de suspensão aleatórios e criptografia personalizada complexa para sequências de código para evitar detecção e análise.
Na primeira inicialização, ele realiza modificação do registro para persistência usando o PowerShell e sai. Nas execuções posteriores, ele estabelece comunicação com o servidor C2 (comando e controle), cujo endereço recupera de uma URL do OneDrive.
A função principal do SysJoker é buscar e carregar cargas adicionais no sistema comprometido, direcionadas por meio da recepção de comandos codificados em JSON.
Embora o malware ainda colete informações do sistema, como versão do sistema operacional, nome de usuário, endereço MAC, etc., e as envie para o C2, ele não possui os recursos de execução de comandos vistos nas versões anteriores. Isso pode retornar em uma versão futura ou ter sido removido pelos desenvolvedores do backdoor para torná-lo mais leve e furtivo.
A Check Point descobriu mais duas amostras do SysJoker que eles chamaram de ‘DMADevice’ e ‘AppMessagingRegistrar’ com base em suas características específicas, mas afirma que todas elas seguem padrões operacionais semelhantes.
Possíveis ligações com o Hamas
O elemento específico que permitiu à Check Point vincular potencialmente o SysJoker ao grupo de ameaças afiliado ao Hamas 'Gaza Cybergang' está utilizando a classe WMI 'StdRegProv' no comando PowerShell usado para estabelecer persistência.
Este método foi visto em ataques anteriores contra a Israel Electric Company, parte da campanha 'Operação Electric Powder'.
Outras semelhanças entre as atividades incluem a implementação de determinados comandos de script, os métodos de coleta de dados e o uso de URLs com tema de API.
Dito isto, e tendo em conta as provas existentes, a confiança na atribuição não é conclusiva.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/new-rust-based-sysjoker-backdoor-linked-to-hamas-hackers/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #novo #backdoor #sysjoker #baseado #em #rust #vinculado #a #hackers #do #hamas
Postar um comentário