Вредоносное ПО SysJoker Mac изначально работает как на Intel, так и на M1 Mac

Возможно, мы все еще ждем, пока некоторые разработчики обновят свои приложения, чтобы они изначально работали на Mac M1, но разработчик вредоносного ПО SysJoker для Mac уже занимается этим.

Исследователь безопасности Патрик Уордл указывает на то, что, по его словам, является первым вредоносным ПО для Mac в 2022 году, и оно работает как на Intel, так и на M1 Mac. Злоумышленник может удаленно управлять SysJoker, что позволяет использовать его по-разному…

Вредоносная программа была обнаружена Intezer. Первоначально казалось, что это только для Linux, но впоследствии были идентифицированы версии для Windows и macOS. Собственный анализ Intezer сосредоточен на версии для Windows, поэтому Уордл подробно изучил вариант для macOS.

Сама вредоносная программа маскируется под видеофайл, но на самом деле представляет собой универсальный бинарник, содержащий как сборки Intel, так и сборки arm64. Последнее означает, что он может работать на любом Apple Silicon Mac.

Вредоносное ПО, по сути, является универсальным приложением, которое связывается с сервером для получения полезной нагрузки, что означает, что его можно использовать для самых разных атак. Он также копирует себя в каталог Library/MacOsServices/, чтобы запускаться при каждом перезапуске Mac.

Похоже, вредоносное ПО используется с середины прошлого года. Уордл говорит, что хорошая новость заключается в том, что теперь все больше инструментов безопасности могут его обнаружить, включая его собственные бесплатные приложения с открытым исходным кодом.

Всякий раз, когда обнаруживается новое вредоносное ПО, мне нравится смотреть, как складываются бесплатные инструменты с открытым исходным кодом Objective-See.

Хорошие новости (и это неудивительно): они способны обнаруживать и тем самым предотвращать эту новую угрозу, даже не зная о ней априори! Давайте посмотрим, как.

Во-первых, BlockBlock обнаруживает постоянство агента запуска вредоносного ПО (com.apple.update.plist).

LuLu, наш бесплатный брандмауэр с открытым исходным кодом, обнаруживает, когда вредоносное ПО впервые пытается установить маяк, чтобы получить зашифрованный адрес своего управляющего сервера.

А если вы беспокоитесь, что вы уже заражены? KnockKnock может выявить живучесть вредоносного ПО (постфактум).

Вредоносное ПО для Mac по-прежнему относительно редко встречается по сравнению с Windows, но представляет собой растущую угрозу. По большей части это просто рекламное ПО, выполняющее такие действия, как взлом браузеров для отображения рекламы, размещенной злоумышленниками, но SysJoker показывает, что есть и более опасные примеры.

Как всегда, лучшая защита от вредоносного ПО — соблюдение мер предосторожности, основанных на здравом смысле. Никогда не открывайте вложения, даже от известных контактов, если вы их не ожидаете, и никогда ничего не загружайте с веб-сайта, если вы не уверены, что этому можно доверять. Однако, если вас это беспокоит, инструменты, подобные тем, которые предоставляет Wardle, предлагают дополнительные уровни защиты.