Les chercheurs en sécurité ont découvert une nouvelle porte dérobée appelée « SysJocker » qui peut attaquer plusieurs systèmes d’exploitation, dont macOS, Windows et Linux.
Les chercheurs d’Intezer ont révélé qu’ils avaient également trouvé SysJoker sur Windows et macOS, après que la porte dérobée n’ait été découverte à l’origine que sur Linux.
Une telle découverte est inhabituelle, car il est très rare de découvrir un code malveillant capable d’attaquer plusieurs plates-formes en même temps. En règle générale, les logiciels malveillants sont produits pour exploiter une vulnérabilité spécifique sur un système d’exploitation, plutôt que de fonctionner de la même manière pour plusieurs plates-formes en même temps.
Selon les chercheurs, SysJoker a été utilisé dans une attaque au second semestre 2021. Le chercheur en sécurité Patrick Wardle a effectué une analyse de la variante macOS, car Intezer s’était concentré sur la version Windows.
Wardle a découvert que le code est un binaire universel couvrant les versions Intel et arm64, ce qui signifie qu’il pourrait fonctionner à la fois sur Apple Silicon et sur les anciens Mac basés sur Intel. Le code est signé, mais avec une signature ad hoc. Lorsqu’il est exécuté pour la première fois, le logiciel crée une copie de la porte dérobée dans la bibliothèque utilisateur en tant que mise à jour pour macOS, afin qu’elle puisse rester en toute sécurité sur le système infecté.
Après s’être exécuté, le logiciel malveillant tente alors de télécharger un fichier à partir d’un compte Google Drive et est capable d’extraire et d’exécuter un exécutable, en fonction des commandes d’un serveur de contrôle désigné. D’autres commandes incluent la décompression d’un exécutable téléchargé et la modification des autorisations de l’exécutable décompressé pour lui permettre de s’exécuter.
L’analyse de la version de Windows indique qu’elle fonctionne à peu près de la même manière, c’est-à-dire qu’elle prétend être une mise à jour et contacte un serveur distant pour télécharger une charge utile et recevoir d’autres commandes pour exécuter le code sur le système cible. Il semble que la porte dérobée commence à être signalée par divers antivirus, après avoir été identifiée par des chercheurs.
Quant à la finalité de cette porte dérobée, les chercheurs pensent qu’elle a été créée pour réaliser un véritable espionnage sur des victimes de haut rang.
Intezer a publié une liste d’indices indiquant qu’un système a été attaqué, y compris les fichiers qu’il crée et le LaunchAgent qui permet au code de rester dans le système d’exploitation. Les fichiers et répertoires créés par SysJoker sur macOS incluent :
- /Library/MacOsServices
- /Library/MacOsServices/updateMacOs
- /Library/SystemNetwork
- /Library/LaunchAgents/com.apple.update.plist
Le code se trouve dans le chemin LibraryLaunchAgents/com.apple.update.plist. Si ces fichiers se trouvent sur un Mac, il est recommandé de supprimer tous les processus associés et les fichiers associés. On ne sait toujours pas comment un utilisateur peut devenir victime de SysJoker.