SysJoker، بدافزار backdoor، اخیرا توسط یک شرکت امنیتی کشف شده است اینتزر. بدافزارها در چند ماه گذشته بی سر و صدا macOS، ویندوز و لینوکس را هدف قرار داده اند، بدون اینکه نرم افزار آنتی ویروس متوجه آن شوند. Patrick Wardle محقق امنیتی آن را اولین بدافزار مک در سال 2022 نامید.

محققان اینتزر برای اولین بار SysJoker را در وب سرور مبتنی بر لینوکس یک “موسسه آموزشی پیشرو” کشف کردند. پس از بررسی های بیشتر، آنها دریافتند که نسخه های SysJoker هم برای ویندوز و هم برای macOS وجود دارد. گمان می رود این حمله بدافزار در نیمه دوم سال 2021 آغاز شده باشد.

SysJoker چیست؟

اینتزر توضیح می‌دهد که SysJoker خود را به‌عنوان یک به‌روزرسانی سیستم پنهان می‌کند و با رمزگشایی رشته‌ای از فایل‌های متنی میزبانی شده در Google Drive، فرمان و کنترل خود (C2) را ایجاد می‌کند. مشخص شد که C2 هرگز ثابت نیست، به این معنی که مهاجم دائماً ماشین‌های آلوده را زیر نظر دارد. شرکت امنیتی به این نتیجه رسید که این بدافزار اهداف خاصی را دنبال می کند.

در اصل، SysJoker مجموعه‌ای از فایل‌ها و دستورات را در رجیستری ایجاد می‌کند که به آن اجازه می‌دهد دستورات را روی دستگاه آلوده اجرا کند، سایر نرم‌افزارهای مخرب را نصب کند یا حتی دستور حذف درب پشتی را بدهد. گزارش شده است که این حمله توسط یک “تهدید پیشرفته” بر اساس قابلیت های این بدافزار انجام شده است. اینتزر اضافه می کند که “هدف از حمله جاسوسی همراه با حرکت جانبی است که می تواند به عنوان یکی از مراحل بعدی منجر به حمله باج افزار شود.”

SysJoker در macOS: تشخیص و پیشگیری

اینتزر بر روی نسخه بدافزار ویندوز تمرکز کرده است، بنابراین واردل شروع به مطالعه اثرات نسخه macOS کرد. او متوجه شد که این بدافزار خود را به عنوان یک فایل ویدیویی پنهان کرده است، اما در واقع یک باینری جهانی است که شامل هر دو مجموعه اینتل و arm64 است. طراحی arm64 تضمین می‌کند که می‌تواند به صورت بومی روی هر مک سیلیسیم اپل اجرا شود. بدافزار در فهرست کتابخانه / MacOsServices / کپی می شود، بنابراین هر بار که مک آلوده خود را مجدداً راه اندازی کنید اجرا می شود.

از آنجایی که این بدافزار موفق شده است از نرم افزار آنتی ویروس فرار کند، باید شاخص های سازش (IOC) را که در گزارش Intezer فهرست شده اند بررسی کنید. فایل های مخرب در زیر “/ Library /” ایجاد می شوند و با LaunchAgent در مسیر /Library/LaunchAgents/com.apple.update.plist سازگاری ایجاد می کنند.

در پایان روز، همیشه بهتر است برای محافظت از خود در برابر بدافزار، اقدامات احتیاطی انجام دهید. نرم افزارهای غیرقانونی یا رسانه های الکترونیکی را از منابع نامعتبر دانلود نکنید. از کلیک بر روی پیوندها یا پیوست های مشکوک در ایمیل های مشکوک خودداری کنید، همیشه ابتدا URL ها را بررسی کنید. چگونه آنلاین از خود محافظت می کنید؟ در نظرات به ما اطلاع دهید.

[Via Intezer]