新的跨平臺"SysJoker"后門同時影響macOS、Windows、Linux
這一發現是不尋常的,因為發現可以同時攻擊多個平臺的惡意代碼是很罕見的。通常情況下,惡意軟件只為攻擊一個平臺的特定漏洞而生成,而不是以類似的方式同時為多個平臺開發。根據研究人員的技術分析,SysJoker被認為是在2021年下半年的一次攻擊中啟動的。安全研究員Patrick Wardle對其macOS變種進行了分析。該代碼被發現是一個涵蓋英特爾和arm64構建的通用二進制文件,這意味著它可以在Apple Silicon以及帶有英特爾芯片的舊Mac上運行。該代碼有簽名,盡管是臨時性的簽名。
最初運行時,該軟件將自己復制到用戶的庫中,作為macOS的更新,用于在受感染的系統上持續存在。
運行后,該惡意軟件隨后試圖下載一個文件,形成一個Google Drice賬戶,并能夠下載和運行一個可執行文件,這取決于來自指定控制服務器的命令。其他命令包括解壓縮下載的可執行文件,以及改變解壓縮的可執行文件的權限以允許其運行。
而Windows下的分析表明,它的操作方式實際上是一樣的,即假裝是一個更新,聯系遠程服務器下載一個載荷并接收其他命令,并在目標系統上執行代碼。在被研究人員發現后,該后門開始被反病毒引擎標記出來。
至于它的目的,Intezer還沒有看到攻擊者發送的第二階段或命令,這表明它有一個非常具體的目的,因此很可能是來自一個"高級行為者"。人們認為其目的是"間諜活動",盡管有可能作為后續階段進行勒索軟件攻擊。
如何檢測SysJoker
Intezer公布了一份系統被攻擊的指標清單,包括創建哪些文件和允許代碼持續存在的LaunchAgent。
SysJoker創建的文件和目錄包括。
/Library/MacOsServices
/Library/MacOsServices/updateMacOs
/Library/SystemNetwork
/Library/LaunchAgents/com.apple.update.plist
持久性代碼在LibraryLaunchAgents/com.apple.update.plist這個路徑下。如果在Mac上發現這些文件,建議關閉所有相關進程并刪除這些文件。
目前還不清楚用戶如何成為SysJoker的受害者。
