SysJoker Malware

SysJoker, descubierto por Intezer en 2021, es una puerta trasera multiplataforma con múltiples variantes para Windows, Linux y Mac. Las variantes de SysJoker para Windows han evolucionado lo suficiente como para pasar desapercibidas.

También se decubrio una variante escrita en Rust, lo que sugiere que el código fue reescrito por completo. Esta campaña estuvo anteriormente vinculada a Gaza Cybergang, un actor de amenazas que opera en conjunto con los intereses palestinos.

La función principal de SysJoker es buscar y cargar cargas útiles adicionales en el sistema comprometido, dirigidas mediante la recepción de comandos codificados en JSON.



El campo key en JSON se usa para descifrar XOR los otros campos después de decodificarlos en base64: el campo PI contiene la dirección IP de la víctima y el campo data contiene la matriz con múltiples valores.


Check Point descubrió dos muestras más de SysJoker a las que llamaron 'DMADevice' y 'AppMessagingRegistrar' según sus características específicas, pero afirma que todas siguen patrones operativos similares.

Esta variante tiene una marca de tiempo de compilación de junio de 2022 y tiene un flujo de ejecución bastante diferente. La funcionalidad del malware se divide en dos componentes
separados: un descargador (DDN, c2848b4e34b45e095bd8e764ca1a4fdd) y una puerta trasera (AppMessagingRegistrar, 31c2813c1fb1e42b85014b2fc3fe0666).

Otras similitudes entre las actividades incluyen la implementación de ciertos comandos de script, los métodos de recopilación de datos y el uso de URL con temas de API.

El malware recopila información sobre el sistema infectado: Incluida la versión de Windows, el nombre de usuario, la dirección MAC y otros datos. Luego, esta información se envía al /api/attach punto final API en el servidor C2 y como respuesta se recibe un token único que sirve como identificador cuando el malware se comunica con el C2.


La infraestructura utilizada en esta campaña se configura dinámicamente. Primero, el malware contacta una dirección de OneDrive y desde allí descifra el JSON que contiene la dirección C2 con la que comunicarse, este actor de amenazas suele utilizar servicios de almacenamiento en la nube.

La dirección C2 está cifrada con una clave XOR codificada y codificada en base64.


En 2017, ocurrió un ataque contra la compañía Compañía Eléctrica de Israel (IEC). El malware de Windows utilizado en esta campaña consistía en’ una puerta trasera principal y un módulo de captura de pantalla y registro de teclas basado en Python. Esta operación utilizó phishing y páginas falsas de Facebook para distribuir malware tanto para Windows como para Android.

Ambas campañas utilizaron URL con temas de API e implementaron comandos de script de manera similar


Indicadores de compromiso:

• Domain audiosound-visual.com
• Domain winaudio-tools.com
• Domain office360-update.com
• Domain graphic-updater.com
• Domain bookitlab.tech
• Domain sharing-u-file.com
• Domain filestorage-short.org
• Domain compartir-u-archivo[.]com
• Domain almacenamiento de archivos-short[.]org
• Domain audiosonido-visual[.]com
• IPv4 85.31.231.49
• IPv4 62.108.40.129
• IPv5 62.108.40[.]129
• IPv4 85.31.231[.]49
• FileHash-SHA256 e076e9893adb0c6d0c70cd7019a266d5fd02b429c01cfe51329b2318e9239836
• FileHash-SHA256 d4095f8b2fd0e6deb605baa1530c32336298afd026afc0f41030fa43371e3e72
• FileHash-SHA256 96dc31cf0f9e7e59b4e00627f9c7f7a8cac3b8f4338b27d713b0aaf6abacfe6f
• FileHash-SHA256 6c8471e8c37e0a3d608184147f89d81d62f9442541a04d15d9ead0b3e0862d95
• FileHash-SHA256 67ddd2af9a8ca3f92bda17bd990e0f3c4ab1d9bea47333fe31205eede8ecc706
• FileHash-SHA256 fe99db3268e058e1204aff679e0726dc77fd45d06757a5fda9eafc6a28cfb8df
• FileHash-SHA256 d476ca89674c987ca399a97f2d635fe30a6ba81c95f93e8320a5f979a0563517
• FileHash-SHA256 d0febda3a3d2d68b0374c26784198dc4309dbe4a8978e44bb7584fd832c325f0
• FileHash-SHA256 d028e64bf4ec97dfd655ccd1157a5b96515d461a710231ac8a529d7bdb936ff3
• FileHash-SHA256 bd0141e88a0d56b508bc52db4dab68a49b6027a486e4d9514ec0db006fe71eed
• FileHash-SHA257 0ff6ff167c71b86c511c36cba8f75d1d5209710907a807667f97ce323df9c4ba
• Hostname up.filestorage-short.org
• Hostname ibfcureyfburey10.ytewfvcsd.cloud
• Hostname github.url-mini.com

Referencias:

• https://www.infosecurity-magazine.com/news/sysjoker-malware-rust-variant/
• https://www.bleepingcomputer.com/news/security/new-rust-based-sysjoker-backdoor-linkedto-hamas-hackers/
• https://research.checkpoint.com/2023/israel-hamas-war-spotlight-shaking-the-rust-offsysjoker

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios