Secondo alcuni ricercatori, il malware, tra i più pericolosi della storia recente, stia colpendo i MAC senza però essere rilevato e quindi sta creando non pochi problemi
INDICE DEI CONTENUTI
SysJoker, un malware backdoor, è stato recentemente scoperto dalla società di sicurezza Intezer. Il malware ha preso di mira silenziosamente i sistemi operativi macOS, Windows e Linux negli ultimi mesi, senza essere rilevato dai software antivirus. Il ricercatore di sicurezza Patrick Wardle lo ha definito il primo malware per MAC del 2022.
I ricercatori di Intezer hanno scoperto per la prima volta SysJoker su web server basato su Linux di un istituto scolastico. Scavando ulteriormente, hanno scoperto che le versioni di SysJoker esistevano anche per Windows e macOS. Si stima che l’attacco malware sia stato scatenato nella seconda metà del 2021.
Cos’è SysJoker?
SysJoker si traveste da aggiornamento di sistema e genera il proprio comando e controllo (C2) decodificando una stringa da un file di testo ospitato su Google Drive, spiega Intezer. È stato riscontrato che il C2 non è mai stato costante, il che implica che l’attaccante monitora costantemente le macchine infette.
La società di sicurezza ha concluso che il malware sta perseguendo su obiettivi specifici. In sostanza, SysJoker crea una serie di file e comandi di registro che gli consentono di eseguire comandi sul dispositivo infetto, installare altro malware o persino comandare alla backdoor di rimuoversi.
Secondo quanto riferito, l’attacco è stato eseguito da un hacker avanzato, basandosi sulle capacità del malware di infiltrarti. Intezer aggiunge che “l’obiettivo dell’attacco è lo spionaggio insieme al movimento trasversale di file che potrebbe anche portare a un attacco ransomware come una delle fasi successive”.
SysJoker su macOS: Rilevazione e prevenzione
Intezer si è concentrato sulla versione Windows del malware, quindi Wardle si è incaricato di esplorare gli effetti della variante macOS . Ha notato che il malware si maschera da file video, ma in realtà è un binario universale contenente build sia Intel che arm64.
La build arm64 garantisce che possa funzionare in modo nativo su qualsiasi MAC Apple in Silicon. Il malware si copia nella directory Library/MacOsServices/, in modo che venga eseguito ogni volta che riavvii il MAC infetto. Una modalità persistente e difficile da rimuovere.
Poiché questo malware è riuscito a eludere il software antivirus, dovrai verificare la presenza di indicatori di compromissione (IOC) che sono stati elencati nel rapporto di Intezer. I file malware vengono creati in “/Library/” e crea la persistenza tramite LaunchAgent nel percorso /Library/LaunchAgents/com.apple.update.plist.
Alla fine della giornata, è sempre meglio adottare alcune precauzioni per proteggersi dai malware. Non scaricare software piratato o media elettronici da fonti inaffidabili. Evita di fare clic su collegamenti o allegati sospetti in e-mail sospette, controlla sempre prima gli URL. Come ti proteggi online? Fateci sapere nei commenti.
