據報道，新的"SysJoker"后門可以攻擊多個操作系統(tǒng)，包括macOS、Windows和Linux。來自Intezer的研究人員透露，他們發(fā)現(xiàn)了SysJoker，這個后門最初被發(fā)現(xiàn)是攻擊Linux的。不久之后，同一后門的變種被發(fā)現(xiàn)，它們可以擴展出對Windows和macOS進行攻擊。

這一發(fā)現(xiàn)是不尋常的，因為發(fā)現(xiàn)可以同時攻擊多個平臺的惡意代碼是很罕見的。通常情況下，惡意軟件只為攻擊一個平臺的特定漏洞而生成，而不是以類似的方式同時為多個平臺開發(fā)。根據研究人員的技術分析，SysJoker被認為是在2021年下半年的一次攻擊中啟動的。安全研究員Patrick Wardle對其macOS變種進行了分析。該代碼被發(fā)現(xiàn)是一個涵蓋英特爾和arm64構建的通用二進制文件，這意味著它可以在Apple Silicon以及帶有英特爾芯片的舊Mac上運行。該代碼有簽名，盡管是臨時性的簽名。

最初運行時，該軟件將自己復制到用戶的庫中，作為macOS的更新，用于在受感染的系統(tǒng)上持續(xù)存在。

運行后，該惡意軟件隨后試圖下載一個文件，形成一個Google Drice賬戶，并能夠下載和運行一個可執(zhí)行文件，這取決于來自指定控制服務器的命令。其他命令包括解壓縮下載的可執(zhí)行文件，以及改變解壓縮的可執(zhí)行文件的權限以允許其運行。

而Windows下的分析表明，它的操作方式實際上是一樣的，即假裝是一個更新，聯(lián)系遠程服務器下載一個載荷并接收其他命令，并在目標系統(tǒng)上執(zhí)行代碼。在被研究人員發(fā)現(xiàn)后，該后門開始被反病毒引擎標記出來。

至于它的目的，Intezer還沒有看到攻擊者發(fā)送的第二階段或命令，這表明它有一個非常具體的目的，因此很可能是來自一個"高級行為者"。人們認為其目的是"間諜活動"，盡管有可能作為后續(xù)階段進行勒索軟件攻擊。

如何檢測SysJoker

Intezer公布了一份系統(tǒng)被攻擊的指標清單，包括創(chuàng)建哪些文件和允許代碼持續(xù)存在的LaunchAgent。

SysJoker創(chuàng)建的文件和目錄包括。

/Library/MacOsServices

/Library/MacOsServices/updateMacOs

/Library/SystemNetwork

/Library/LaunchAgents/com.apple.update.plist

持久性代碼在LibraryLaunchAgents/com.apple.update.plist這個路徑下。如果在Mac上發(fā)現(xiàn)這些文件，建議關閉所有相關進程并刪除這些文件。

目前還不清楚用戶如何成為SysJoker的受害者。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/