據(jù)報道，新的"SysJoker"后門可以攻擊多個操作系統(tǒng)，包括macOS、Windows和Linux。來自Intezer的研究人員透露，他們發(fā)現(xiàn)了SysJoker，這個后門最初被發(fā)現(xiàn)是攻擊Linux的。不久之后，同一后門的變種被發(fā)現(xiàn)，它們可以擴(kuò)展出對Windows和macOS進(jìn)行攻擊。

這一發(fā)現(xiàn)是不尋常的，因為發(fā)現(xiàn)可以同時攻擊多個平臺的惡意代碼是很罕見的。通常情況下，惡意軟件只為攻擊一個平臺的特定漏洞而生成，而不是以類似的方式同時為多個平臺開發(fā)。根據(jù)研究人員的技術(shù)分析，SysJoker被認(rèn)為是在2021年下半年的一次攻擊中啟動的。安全研究員Patrick Wardle對其macOS變種進(jìn)行了分析。該代碼被發(fā)現(xiàn)是一個涵蓋英特爾和arm64構(gòu)建的通用二進(jìn)制文件，這意味著它可以在Apple Silicon以及帶有英特爾芯片的舊Mac上運(yùn)行。該代碼有簽名，盡管是臨時性的簽名。

最初運(yùn)行時，該軟件將自己復(fù)制到用戶的庫中，作為macOS的更新，用于在受感染的系統(tǒng)上持續(xù)存在。

運(yùn)行后，該惡意軟件隨后試圖下載一個文件，形成一個Google Drice賬戶，并能夠下載和運(yùn)行一個可執(zhí)行文件，這取決于來自指定控制服務(wù)器的命令。其他命令包括解壓縮下載的可執(zhí)行文件，以及改變解壓縮的可執(zhí)行文件的權(quán)限以允許其運(yùn)行。

而Windows下的分析表明，它的操作方式實際上是一樣的，即假裝是一個更新，聯(lián)系遠(yuǎn)程服務(wù)器下載一個載荷并接收其他命令，并在目標(biāo)系統(tǒng)上執(zhí)行代碼。在被研究人員發(fā)現(xiàn)后，該后門開始被反病毒引擎標(biāo)記出來。

至于它的目的，Intezer還沒有看到攻擊者發(fā)送的第二階段或命令，這表明它有一個非常具體的目的，因此很可能是來自一個"高級行為者"。人們認(rèn)為其目的是"間諜活動"，盡管有可能作為后續(xù)階段進(jìn)行勒索軟件攻擊。

如何檢測SysJoker

Intezer公布了一份系統(tǒng)被攻擊的指標(biāo)清單，包括創(chuàng)建哪些文件和允許代碼持續(xù)存在的LaunchAgent。

SysJoker創(chuàng)建的文件和目錄包括。

/Library/MacOsServices

/Library/MacOsServices/updateMacOs

/Library/SystemNetwork

/Library/LaunchAgents/com.apple.update.plist

持久性代碼在LibraryLaunchAgents/com.apple.update.plist這個路徑下。如果在Mac上發(fā)現(xiàn)這些文件，建議關(guān)閉所有相關(guān)進(jìn)程并刪除這些文件。

目前還不清楚用戶如何成為SysJoker的受害者。

（舉報）