Gli esperti di Check Point Research hanno individuato una nuova versione di SysJoker, una backdoor multi-piattaforma usata dal gruppo Gaza Cybergang (affiliato ad Hamas) per colpire specifici target in Israele. Una precedente versione era stata utilizzata per attacchi contro aziende israeliane nel 2016-2017.
SysJoker: nuova versione scritta in Rust
La nuova variante di SysJocker è stata scoperta a metà ottobre. Il codice è stato completamente riscritto in Rust, un noto linguaggio di programmazione multi-piattaforma. La backdoor supporta infatti Windows, macOS e Linux. Quella analizzata da Check Point Research è per il sistema operativo di Microsoft.
La backdoor sfrutta diverse tecniche per evitare la rilevazione, tra cui intervalli di tempo “sleep” casuali e crittografia personalizzata per il codice. L’eseguibile del malware viene copiato nella directory ProgramData, mentre un comando PowerShell stabilisce la persistenza (avvio automatico), aggiungendo una chiave nel registro.
Successivamente viene recuperato da OneDrive l’indirizzo del server C2 (command and control), al quale il malware invia diverse informazioni sul sistema, tra cui versione di Windows, username e indirizzo MAC. Tramite comandi JSON vengono quindi scaricati altri payload. Rispetto alla versione precedente (scritta in linguaggio C++) mancano alcune funzionalità che potrebbero essere aggiunte in futuro.
Check Point Research ha scoperto altre due varianti con flusso di esecuzione multi-stage e più moduli (installer, downloader e backdoor). Analizzando il codice sono state trovate conferme sugli autori degli attacchi recenti. Si tratta del gruppo Gaza Cybergang che nel 2017 ha colpito la Israel Electric Company durante la campagna Operation Electric Powder. In quel caso è stato usato un malware Windows formato da dropper, backdoor e keylogger.
Ti potrebbe interessare
27 nov 2023