SysJoker a été initialement écrit en C++, mais la dernière version utilise le langage de programmation Rust et a été utilisée par des groupes de hackers liés au Hamas pour cibler Israël.
L'industrie de la sécurité Check Point Research a récemment découvert une nouvelle version du cheval de Troie multiplateforme SysJoker. Elle a été écrite à l'origine en C++, mais la dernière version utilise le langage de programmation Rust et a été utilisée par des groupes de pirates informatiques liés au Hamas pour traiter avec Israël. .
SysJoker est apparu pour la première fois en 2021. À cette époque, il s'agissait d'un cheval de Troie multiplateforme qui pouvait être utilisé pour attaquer les plateformes Windows, Linux et macOS. Il se déguise en fichier de mise à jour du système, puis décode les fichiers stockés dans Google Drive pour générer des C&C. Selon l'analyse d'Intezer, la société de sécurité qui l'a divulgué à l'époque, SysJoker changera constamment de serveur C&C, ce qui signifie que les pirates. sont très actifs et surveillent les attaques des engins dangereux, croyant qu'ils recherchent une cible spécifique.
Le comportement de SysJoker est similaire sur différentes plateformes : Intezer estime que le but de son attaque est l'espionnage, mais elle présente les caractéristiques d'un mouvement latéral et peut également conduire à des attaques de ransomware.
Le SysJoker découvert par Check Point Research a été écrit en Rust, ce qui signifie que les pirates ont complètement réécrit SysJoker mais ont conservé des fonctions similaires. De plus, les pirates ont opté pour OneDrive au lieu de Google Drive pour stocker les URL C&C dynamiques.
D'un autre côté, la version C++ de SysJoker peut non seulement télécharger et exécuter des programmes distants à partir de fichiers archivés, mais également exécuter des commandes demandées par des pirates. Cependant, une fois que la version Rust aura reçu et exécuté le fichier téléchargé, cela dépendra du succès ou échec de l'opération. Contactez ensuite le serveur C&C et il n'est pas possible d'exécuter directement la commande.
Les dernières recherches relient la version Rust de SysJoker à la mission de piratage Operation Electric Powder, qui était une attaque contre Israel Electric Company en 2016/2017. Ils ont tous deux utilisé des URL sur le thème de l'API et exécuté des scripts de la même manière.
