新的跨平台”SysJoker”后门同时影响macOS、Windows、Linux

据报道,新的”SysJoker”后门可以攻击多个操作系统,包括macOS、Windows和Linux。来自Intezer的研究人员透露,他们发现了SysJoker,这个后门最初被发现是攻击Linux的。不久之后,同一后门的变种被发现,它们可以扩展出对Windows和macOS进行攻击。

图片[1]-新的跨平台”SysJoker”后门同时影响macOS、Windows、Linux-零度博客

这一发现是不寻常的,因为发现可以同时攻击多个平台的恶意代码是很罕见的。通常情况下,恶意软件只为攻击一个平台的特定漏洞而生成,而不是以类似的方式同时为多个平台开发。根据研究人员的技术分析,SysJoker被认为是在2021年下半年的一次攻击中启动的。安全研究员Patrick Wardle对其macOS变种进行了分析。该代码被发现是一个涵盖英特尔和arm64构建的通用二进制文件,这意味着它可以在Apple Silicon以及带有英特尔芯片的旧Mac上运行。该代码有签名,尽管是临时性的签名。

新跨平台

最初运行时,该软件将自己复制到用户的库中,作为macOS的更新,用于在受感染的系统上持续存在。

运行后,该恶意软件随后试图下载一个文件,形成一个Google Drice账户,并能够下载和运行一个可执行文件,这取决于来自指定控制服务器的命令。其他命令包括解压缩下载的可执行文件,以及改变解压缩的可执行文件的权限以允许其运行。

而Windows下的分析表明,它的操作方式实际上是一样的,即假装是一个更新,联系远程服务器下载一个载荷并接收其他命令,并在目标系统上执行代码。在被研究人员发现后,该后门开始被反病毒引擎标记出来。

至于它的目的,Intezer还没有看到攻击者发送的第二阶段或命令,这表明它有一个非常具体的目的,因此很可能是来自一个”高级行为者”。人们认为其目的是”间谍活动”,尽管有可能作为后续阶段进行勒索软件攻击。

 

如何检测SysJoker

Intezer公布了一份系统被攻击的指标清单,包括创建哪些文件和允许代码持续存在的LaunchAgent。

SysJoker创建的文件和目录包括。

/Library/MacOsServices

/Library/MacOsServices/updateMacOs

/Library/SystemNetwork

/Library/LaunchAgents/com.apple.update.plist

图片[3]-新的跨平台”SysJoker”后门同时影响macOS、Windows、Linux-零度博客

持久性代码在LibraryLaunchAgents/com.apple.update.plist这个路径下。如果在Mac上发现这些文件,建议关闭所有相关进程并删除这些文件。

目前还不清楚用户如何成为SysJoker的受害者。

THE END
喜欢就支持一下吧
点赞2251 分享
最火的AI绘画教程!免费开源,包教会-零度博客

最火的AI绘画教程!免费开源,包教会

  1.Git: 【官网】 2.Python:【官网】 3.安装命令: git clone https://github.com/AUTOMATIC1111/stable-diffusion-webui.git 4.Model下载:【点击前往】 最新版的stable-diffusion-v1....
admin的头像-零度博客admin
1.7W+2250
Claude 3.5 力压 GPT-4o!堪称迄今为止最强大的视觉模型,免费可用-零度博客

Claude 3.5 力压 GPT-4o!堪称迄今为止最强大的视觉模型,免费可用

  今天,Anthropic 推出了 Claude 3.5 Sonnet,这是即将推出的 Claude 3.5 型号系列中的第一款产品。Claude 3.5 Sonnet 提高了行业智能标准,在各种评估中均优于竞争对手的型号和 Claude 3...
admin的头像-零度博客admin
2.5W+2178
Windows 10虚拟机最新挖矿教程,悄悄地赚额外收入! | 零度解说-零度博客
熊猫烧香病毒! 样本+代码分析,切勿电脑上运行!-零度博客

熊猫烧香病毒! 样本+代码分析,切勿电脑上运行!

熊猫烧香是一个感染性的蠕虫病毒,它能感染系统中的 exe ,com ,pif,src,html,asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件,该文件是一系统备份工具 ...
admin的头像-零度博客admin
1.6W+1624
比特币最好 最安全的离线冷钱包-零度博客

比特币最好 最安全的离线冷钱包

  1.免费的冷钱包生成地址:https://www.bitaddress.org (切记一定要断网 离线生成!) 2.如果你嫌麻烦,可以直接购买冷钱包的硬件:https://bit.ly/3ChreJS (建议持有10个比特币者)
admin的头像-零度博客admin
1.1W+652
HiveOS挖矿系统 + BRD加密货币钱包手机应用下载-零度博客

HiveOS挖矿系统 + BRD加密货币钱包手机应用下载

1.HiveOS:【点击注册】 赠送 10美金的优惠码:code10 1.BRD加密货币钱包: 【官网】 2.BRD手机应用下载:【iOS】 【安卓】 3.火币钱包:【点击注册】 4.币安:【点击注册】  
美女图被插后门!!我们该如何确保自己下载的资源是安全、靠谱的? | 零度解说-零度博客
7个非常不可思议的网站,很少人知道但真的超级有趣实用!| 零度解说-零度博客
推荐8款精品浏览器插件!每一款都非常的实用!!-零度博客

推荐8款精品浏览器插件!每一款都非常的实用!!

1.Magic-Copy 电脑本地抠图功能不稀奇,但在浏览器里对着图片右键菜单选择 Magic Copy,就能抠图确实太方便了。 安装之后,只需要对着图片右键,然后点几下就完成了,太方便了:随着在线抠图、...
admin的头像-零度博客admin
1.8W+1682