La nueva versión del troyano SysJoker utiliza el lenguaje de programación Rust

SysJoker se escribió originalmente en C++, pero la última versión utiliza el lenguaje de programación Rust y ha sido utilizado por grupos de hackers relacionados con Hamás para atacar a Israel.

La empresa de seguridad Check Point Research descubrió recientemente una nueva versión del programa troyano multiplataforma SysJoker. Fue escrito originalmente en C++, pero la última versión utiliza el lenguaje de programación Rust y ha sido utilizada por grupos de piratas informáticos relacionados con Hamás. .

SysJoker apareció por primera vez en 2021. En ese momento, era un programa troyano multiplataforma que podía usarse para atacar plataformas Windows, Linux y macOS. Se disfraza como un archivo de actualización del sistema y luego decodifica los archivos almacenados en Google Drive para generar C&C. Según el análisis de Intezer, la empresa de seguridad que lo reveló en su momento, SysJoker cambiará constantemente su servidor C&C, lo que significa que los piratas informáticos. Son muy activos y monitorean los ataques del dispositivo peligroso, creyendo que está buscando un objetivo específico.

SysJoker se comporta de manera similar en diferentes plataformas. Intezer cree que el objetivo de su ataque es el espionaje, pero tiene las características de movimiento lateral y también puede dar lugar a ataques de ransomware.

El SysJoker descubierto por Check Point Research fue escrito en Rust, lo que significa que los piratas informáticos reescribieron completamente SysJoker pero mantuvieron funciones similares. Además, los piratas informáticos pasaron a utilizar OneDrive en lugar de Google Drive para almacenar URL dinámicas de C&C.

Por otro lado, la versión C++ de SysJoker no solo puede descargar y ejecutar programas remotos desde archivos archivados, sino también ejecutar comandos ordenados por piratas informáticos. Sin embargo, después de que la versión Rust reciba y ejecute el archivo descargado, dependerá del éxito. falla de la operación. Luego, comuníquese con el servidor C&C y no podrá ejecutar el comando directamente.

La última investigación vincula la versión Rust de SysJoker con la misión de piratería Operation Electric Powder, que fue un ataque a Israel Electric Company en 2016/2017. Ambos utilizaron URL con temática API y ejecutaron scripts de manera similar.