新的跨平台”SysJoker”后门同时影响macOS、Windows、Linux

据报道,新的”SysJoker”后门可以攻击多个操作系统,包括macOS、Windows和Linux。来自Intezer的研究人员透露,他们发现了SysJoker,这个后门最初被发现是攻击Linux的。不久之后,同一后门的变种被发现,它们可以扩展出对Windows和macOS进行攻击。

图片[1]-新的跨平台”SysJoker”后门同时影响macOS、Windows、Linux-零度博客

这一发现是不寻常的,因为发现可以同时攻击多个平台的恶意代码是很罕见的。通常情况下,恶意软件只为攻击一个平台的特定漏洞而生成,而不是以类似的方式同时为多个平台开发。根据研究人员的技术分析,SysJoker被认为是在2021年下半年的一次攻击中启动的。安全研究员Patrick Wardle对其macOS变种进行了分析。该代码被发现是一个涵盖英特尔和arm64构建的通用二进制文件,这意味着它可以在Apple Silicon以及带有英特尔芯片的旧Mac上运行。该代码有签名,尽管是临时性的签名。

新跨平台

最初运行时,该软件将自己复制到用户的库中,作为macOS的更新,用于在受感染的系统上持续存在。

运行后,该恶意软件随后试图下载一个文件,形成一个Google Drice账户,并能够下载和运行一个可执行文件,这取决于来自指定控制服务器的命令。其他命令包括解压缩下载的可执行文件,以及改变解压缩的可执行文件的权限以允许其运行。

而Windows下的分析表明,它的操作方式实际上是一样的,即假装是一个更新,联系远程服务器下载一个载荷并接收其他命令,并在目标系统上执行代码。在被研究人员发现后,该后门开始被反病毒引擎标记出来。

至于它的目的,Intezer还没有看到攻击者发送的第二阶段或命令,这表明它有一个非常具体的目的,因此很可能是来自一个”高级行为者”。人们认为其目的是”间谍活动”,尽管有可能作为后续阶段进行勒索软件攻击。

 

如何检测SysJoker

Intezer公布了一份系统被攻击的指标清单,包括创建哪些文件和允许代码持续存在的LaunchAgent。

SysJoker创建的文件和目录包括。

/Library/MacOsServices

/Library/MacOsServices/updateMacOs

/Library/SystemNetwork

/Library/LaunchAgents/com.apple.update.plist

图片[3]-新的跨平台”SysJoker”后门同时影响macOS、Windows、Linux-零度博客

持久性代码在LibraryLaunchAgents/com.apple.update.plist这个路径下。如果在Mac上发现这些文件,建议关闭所有相关进程并删除这些文件。

目前还不清楚用户如何成为SysJoker的受害者。

THE END
喜欢就支持一下吧
点赞2251 分享
6600XT 显卡终于免驱黑苹果,真香!性价比超高 | 零度解说-零度博客
局域网中看‘’片片‘的最佳配置方案!速度超快而且画质高  | 零度解说-零度博客
如何进入暗网? 暗网里的真真假假,进入暗网你必须要知道的事情!-零度博客

如何进入暗网? 暗网里的真真假假,进入暗网你必须要知道的事情!

https://youtu.be/1PT5Kcq4Ppo 想必大家应该知道暗网,但是什么是暗网呢? 所谓的暗网就是通过常规的搜索引擎或浏览器无法到达的深度网络; 在暗网里有大量你在表层网络里看不到的内容,但是大...
【火爆全网的】AI视频生成神器!让老外说中文,口型自然,不限语言,多用途,还不快来试试! | 零度解说-零度博客

【火爆全网的】AI视频生成神器!让老外说中文,口型自然,不限语言,多用途,还不快来试试! | 零度解说

https://youtu.be/N3CTgtz3GMc   ========================   1.AI视频生成网站:https://heygen.com 2.Whisper语音转文字:https://www.freedidi.com/8737.html 3.Wav2Lip离线版:ht...
admin的头像-零度博客admin
1.7W+1683
Windows最值得安装的软件,这5款你一定都知道!-零度博客

Windows最值得安装的软件,这5款你一定都知道!

  1.KMSOffline Itellyou- https://msdn.itellyou.cn 2.Office Tool Plus - https://otp.landian.vip 3.虚拟定位 - https://www.i4.cn Fake GPS location - https://play.google.com/store...
admin的头像-零度博客admin
1.4W+1528
100% 免费的安全VPN,速度超快!秒开 4K、8K视频,这五款值得推荐!!【 2024 】| 零度解说-零度博客
Webtorrent 免费开源,且支持“边下边播”的BT种子下载工具!-零度博客

Webtorrent 免费开源,且支持“边下边播”的BT种子下载工具!

Webtorrent官方网站:https://webtorrent.io/desktop/ 适用于 Mac、Windows 和 Linux 的流式 Torrent 客户端 获取 WebTorrent 桌面 WebTorrent Desktop 用于流式传输种子。无论是来自Internet A...
Camtasia 教程,真正好用的Camtasia激活方法!-零度博客

Camtasia 教程,真正好用的Camtasia激活方法!

  步骤1: 首先,您从任何站点下载最新版本的Camtasia studio并将其安装在PC /计算机中 步骤2:不要打开软件 STEP 3: 找到RegInfo.ini 文件,文件所在目录:C:\ProgramData\TechSmith\Cam...
Windows 11安卓子系统WSA正式版发布! 支持超5万款App-零度博客

Windows 11安卓子系统WSA正式版发布! 支持超5万款App

近日,微软已经正式推出Windows 11 安卓子系统WSA的v1版本,将支持超过5万个App。   据微软的合作伙伴发展经理Cory Hendrixson 介绍,WSA的v1正式版将在31个国家和地区上线,支持超过5万个...
admin的头像-零度博客admin
1.6W+2250