SysJoker foi originalmente escrito em C++, mas a versão mais recente usa a linguagem de programação Rust e tem sido usada por grupos de hackers relacionados ao Hamas para atingir Israel.
A empresa de segurança Check Point Research descobriu recentemente uma nova versão do programa Trojan multiplataforma SysJoker. Ele foi originalmente escrito em C++, mas a versão mais recente usa a linguagem de programação Rust e tem sido usada por grupos de hackers relacionados ao Hamas para lidar com Israel. .
O SysJoker apareceu pela primeira vez em 2021. Naquela época, era um programa Trojan de plataforma cruzada que poderia ser usado para atacar plataformas Windows, Linux e macOS. Ele se disfarça como um arquivo de atualização do sistema e depois decodifica os arquivos armazenados no Google Drive para gerar C&C. Segundo análise da Intezer, empresa de segurança que o divulgou na época, o SysJoker mudará constantemente seu servidor C&C, o que significa que os hackers. são muito ativos e monitoram os ataques de dispositivos perigosos, acreditando que estão procurando um alvo específico.
O SysJoker se comporta de maneira semelhante em diferentes plataformas. A Intezer acredita que o objetivo de seu ataque é a espionagem, mas possui características de movimento lateral e também pode levar a ataques de ransomware.
O SysJoker descoberto pela Check Point Research foi escrito em Rust, o que significa que os hackers reescreveram completamente o SysJoker, mas mantiveram funções semelhantes. Além disso, os hackers passaram a usar o OneDrive em vez do Google Drive para armazenar URLs C&C dinâmicos.
Por outro lado, a versão C++ do SysJoker pode não apenas baixar e executar programas remotos a partir de arquivos arquivados, mas também executar comandos instruídos por hackers. Porém, após a versão Rust receber e executar o arquivo baixado, isso dependerá do sucesso ou. falha da operação. Em seguida, entre em contato com o servidor C&C e não será possível executar o comando diretamente.
A pesquisa mais recente vincula a versão Rust do SysJoker à missão de hacking da Operação Electric Powder, que foi um ataque à Israel Electric Company em 2016/2017. Ambos usaram URLs com tema de API e executaram scripts de maneira semelhante.
