SysJoker è il nome di una backdoor (una “porta di servizio” che consente l’accesso ad un sistema informatico eludendo la normale procedura di autenticazione) che a quanto pare può essere sfruttata su vari sistemi operativi inclusi macOS, Windows e Linux.
La backdoor in questione è stata rivelata da ricercatori di Intezer, azienda specializzata in sicurezza, dimostrando la possibilità di attaccare sistemi Linux, e subito dopo varianti della stessa che potrebbero colpire Windows e macOS.
Il sito Appleinsider spiega che la possibilità di avere a disposizione codice con il quale è possibile attaccare sistemi operativi così diversi è insolita: tipicamente il malware tiene conto di specifiche vulnerabilità di una piattaforma ed è a dir poco inusuale avere a che fare con codice e procedure che permettono di attaccare simultaneamente più piattaforme.
Dalle analisi tecniche dei ricercatori, attacchi con SysJoker sono partiti nella seconda metà del 2021. La versione Mac è universal binary (eseguibile sia sui Mac con processori Intel, sia sui Mac con processori Apple Silicon). Dopo l’avvio (non è chiaro in che modo possa essere possibile incappare in qualcosa che permetta di attivare la backdoor), il software copia sé stesso nella cartella Libreria dell’utente alla stregua di un aggiornamento di macOS, sistema sfruttato come tecnica per infettare il sistema.
Dopo l’esecuzione, il malware tenta di scaricare un file da un account Google Drive, avviando un eseguibile ed eseguendo comandi dal control server designato. Altri comandi eseguiti prevedono lo scompattamento dell’eseguibile e la modifica dei permessi all’eseguibile compresso in modo da avviarlo.
Il malware per Windows esegue operazioni simili, presentandosi all’utente come se fosse un update e contattando dopo l’installazione un server di controllo remoto per scaricare il “payload” ed eseguendo comandi vari sul sistema target.
Alcuni ricercatori di software antivirus hanno cominciato a identificare la backdoor dopo le prime segnalazioni. Per quanto riguarda gli scopi, non sono al momento chiari e i ricercatori di Intezer ipotizzano un legame con “soggetti importanti” (a scopo di spionaggio o per consentire successivi attacchi ransomware).
Come individuare SysJoker
Su Mac è possibile capire se il sistema è colpito da SysJoker, per via di file e cartelle create per permettere al codice di persistere, incluso l’esecuzione di codice nelle preferenze LibraryLaunchAgents/com.apple.update.plist.
Non è ad ogni modo chiaro in che modo sia possibile imbattersi nel malware in questione. I consigli per Mac sono quelli di sempre: aggiornate il sistema operativo, scaricate applicazioni da App Store o siti di sviluppatori noti, non fornite la password dell’utente amministratore senza validi motivi.
L’hardware e il software del Mac integrano tecnologie evolute che lavorano insieme per rendere le app più sicure, salvaguardare i dati e tutelare l’utente quando naviga sul web. A questo indirizzo tutti i dettagli su come Mac e macOS proteggono per loro natura l’utente, grazie a tecnologie come XD (Execute Disable), ASLR (Address Space Layout Randomization) e SIP (System Integrity Protection) che ostacolano l’esecuzione dei malware e garantiscono che i processi con permessi root non possano modificare i file di sistema critici.
