據報道,新的”SysJoker”後門可以攻擊多個操作系統,包括macOS、Windows和Linux。來自Intezer的研究人員透露,他們發現了SysJoker,這個後門最初被發現是攻擊Linux的。不久之後,同一後門的變種被發現,它們可以擴展出對Windows和macOS進行攻擊。
這一發現是不尋常的,因為發現可以同時攻擊多個平台的惡意代碼是很罕見的。通常情況下,惡意軟件只為攻擊一個平台的特定漏洞而生成,而不是以類似的方式同時為多個平台開發。根據研究人員的技術分析,SysJoker被認為是在2021年下半年的一次攻擊中啟動的。安全研究員Patrick Wardle對其macOS變種進行了分析。該代碼被發現是一個涵蓋英特爾和arm64構建的通用二進制文件,這意味着它可以在Apple Silicon以及帶有英特爾芯片的舊Mac上運行。該代碼有簽名,儘管是臨時性的簽名。
最初運行時,該軟件將自己複製到用戶的庫中,作為macOS的更新,用於在受感染的系統上持續存在。
運行后,該惡意軟件隨後試圖下載一個文件,形成一個Google Drice賬戶,並能夠下載和運行一個可執行文件,這取決於來自指定控制服務器的命令。其他命令包括解壓縮下載的可執行文件,以及改變解壓縮的可執行文件的權限以允許其運行。
而Windows下的分析表明,它的操作方式實際上是一樣的,即假裝是一個更新,聯繫遠程服務器下載一個載荷並接收其他命令,並在目標系統上執行代碼。在被研究人員發現后,該後門開始被反病毒引擎標記出來。
至於它的目的,Intezer還沒有看到攻擊者發送的第二階段或命令,這表明它有一個非常具體的目的,因此很可能是來自一個”高級行為者”。人們認為其目的是”間諜活動”,儘管有可能作為後續階段進行勒索軟件攻擊。
如何檢測SysJoker
Intezer公布了一份系統被攻擊的指標清單,包括創建哪些文件和允許代碼持續存在的LaunchAgent。
SysJoker創建的文件和目錄包括。
/Library/MacOsServices
/Library/MacOsServices/updateMacOs
/Library/SystemNetwork
/Library/LaunchAgents/com.apple.update.plist
持久性代碼在LibraryLaunchAgents/com.apple.update.plist這個路徑下。如果在Mac上發現這些文件,建議關閉所有相關進程並刪除這些文件。
目前還不清楚用戶如何成為SysJoker的受害者。