Alcuni ricercatori di sicurezza hanno scoperto una nuova backdoor chiamata “SysJocker” che può attaccare più sistemi operativi, inclusi macOS, Windows e Linux.
I ricercatori di Intezer hanno rivelato di aver trovato SysJoker anche su Windows e macOS, dopo che la backdoor era stata originariamente scoperta solo su Linux.
Tale scoperta è insolita, poiché è davvero raro scoprire un codice dannoso capace di attaccare più piattaforme contemporaneamente. In genere, i malware vengono prodotti per sfruttare una vulnerabilità specifica presente su un sistema operativo, anziché funzionare in modo simile per più piattaforme contemporaneamente.
Secondo i ricercatori, SysJoker è stato utilizzato in un attacco nella seconda metà del 2021. Il ricercatore di sicurezza Patrick Wardle ha eseguito l’analisi della variante macOS, poiché Intezer si era concentraao sulla versione Windows.
Wardle ha scoperto che il codice è un binario universale che copre le build Intel e arm64, il che significa che potrebbe funzionare sia su Apple Silicon che su vecchi Mac con chip Intel. Il codice è firmato, anche se con una firma ad hoc. Quando viene eseguito per la prima volta, il software crea una copia della backdoor nella Libreria dell’utente come aggiornamento per macOS, così da poter poter rimanere senza problemi sul sistema infetto.
Dopo essere stato eseguito, il malware tenta quindi di scaricare un file da un account Google Drive ed è in grado di estrarre ed eseguire un eseguibile, a seconda dei comandi provenienti da un server di controllo designato. Altri comandi includono la decompressione di un eseguibile scaricato e la modifica delle autorizzazioni dell’eseguibile decompresso per consentirne l’esecuzione.
L’analisi della versione Windows indica che funziona praticamente allo stesso modo, ovvero finge di essere un aggiornamento e contatta un server remoto per scaricare un payload e ricevere altri comandi per eseguire il codice sul sistema di destinazione. Sembra che la backdoor stia iniziando a essere segnalata da vari antivirus, dopo essere stata identificata dai ricercatori.
Per quanto riguarda l’obiettivo di questa backdoor, i ricercatori pensano che sia stata creata per effettuare vero e proprio spionaggio su vittime di alto rango.
Intezer ha pubblicato un elenco di indizi che indicano che un sistema è stato attaccato, inclusi i file creati e il LaunchAgent che consente al codice di rimanere nel sistema operativo. I file e le directory create da SysJoker su macOS includono:
- /Library/MacOsServices
- /Library/MacOsServices/updateMacOs
- /Library/SystemNetwork
- /Library/LaunchAgents/com.apple.update.plist
Il codice si trova nel percorso LibraryLaunchAgents/com.apple.update.plist. Se questi file vengono trovati su un Mac, si consiglia di eliminare tutti i processi correlati e i relativi file. Non è ancora chiaro come un utente possa diventare una vittima di SysJoker.