
新的跨平台"SysJoker"后门同时影响macOS、Windows、Linux
声明:该文章来自(CnBeta)版权由原作者所有,K2OS渲染引擎提供网页加速服务。
据报道,新的"SysJoker"后门可以攻击多个操作系统,包括macOS、Windows和Linux。来自Intezer的研究人员透露,他们发现了SysJoker,这个后门最初被发现是攻击Linux的。不久之后,同一后门的变种被发现,它们可以扩展出对Windows和macOS进行攻击。
这一发现是不寻常的,因为发现可以同时攻击多个平台的恶意代码是很罕见的。通常情况下,恶意软件只为攻击一个平台的特定漏洞而生成,而不是以类似的方式同时为多个平台开发。根据研究人员的技术分析,SysJoker被认为是在2021年下半年的一次攻击中启动的。安全研究员Patrick Wardle对其macOS变种进行了分析。该代码被发现是一个涵盖英特尔和arm64构建的通用二进制文件,这意味着它可以在Apple Silicon以及带有英特尔芯片的旧Mac上运行。该代码有签名,尽管是临时性的签名。
最初运行时,该软件将自己复制到用户的库中,作为macOS的更新,用于在受感染的系统上持续存在。
运行后,该恶意软件随后试图下载一个文件,形成一个Google Drice账户,并能够下载和运行一个可执行文件,这取决于来自指定控制服务器的命令。其他命令包括解压缩下载的可执行文件,以及改变解压缩的可执行文件的权限以允许其运行。
而Windows下的分析表明,它的操作方式实际上是一样的,即假装是一个更新,联系远程服务器下载一个载荷并接收其他命令,并在目标系统上执行代码。在被研究人员发现后,该后门开始被反病毒引擎标记出来。
至于它的目的,Intezer还没有看到攻击者发送的第二阶段或命令,这表明它有一个非常具体的目的,因此很可能是来自一个"高级行为者"。人们认为其目的是"间谍活动",尽管有可能作为后续阶段进行勒索软件攻击。
如何检测SysJoker
Intezer公布了一份系统被攻击的指标清单,包括创建哪些文件和允许代码持续存在的LaunchAgent。
SysJoker创建的文件和目录包括。
/Library/MacOsServices
/Library/MacOsServices/updateMacOs
/Library/SystemNetwork
/Library/LaunchAgents/com.apple.update.plist
持久性代码在LibraryLaunchAgents/com.apple.update.plist这个路径下。如果在Mac上发现这些文件,建议关闭所有相关进程并删除这些文件。
目前还不清楚用户如何成为SysJoker的受害者。
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
- 1 前事不忘 后事之师 7904167
- 2 官方终于出手整治单踏板了 7809124
- 3 女子坐11小时飞机后心跳骤停去世 7714368
- 4 台风为什么会出现“蛇形走位” 7618770
- 5 开车睡觉?余承东:是看手机 已自首 7521638
- 6 扛140斤硬币存银行遭拒 当事人发声 7424028
- 7 为何天气预报跟体感温度差这么多 7332210
- 8 鹿晗关晓彤“同城零互动” 7232654
- 9 马克龙伸手扶妻子下飞机遭无视 7141627
- 10 江西5291家机关食堂“一码通刷” 7047271