Многие разработчики еще не обновили свои приложения, чтобы они без лишних костылей работали на компьютерах Mac M1, а вот уязвимость SysJoker для Mac уже отлично функционирует. Исследователь безопасности Патрик Уордл указывает на то, что, по его словам, является первым вредоносным ПО для Mac в 2022 году, и оно работает как на Intel, так и на M1 Mac. Используется бэкдор SysJoker который позволяет получить доступ к широкому кругу действий.
Вредоносная программа была обнаружена Intezer. Первоначально казалось, что уязвимость пригодна только для Linux, но впоследствии были идентифицированы версии для Windows и macOS. Собственный анализ Intezer сосредоточен на версии для Windows, поэтому Уордл глубоко погрузился в вариант для macOS.
Сама вредоносная программа маскируется под видеофайл, но на самом деле представляет собой универсальный бинарник, содержащий как сборки Intel, так и сборки arm64. Последнее означает, что он может работать на любом Apple Silicon Mac. Вредоносное ПО, по сути, является универсальным приложением, которое связывается с сервером для получения полезной нагрузки, что означает, что его можно использовать для самых разных атак. Он также копирует себя в Library/MacOsServices/ каталог, чтобы запускаться при каждом перезапуске Mac.
Похоже, вредоносное ПО используется с середины прошлого года. Хорошая новость заключается в том, что теперь все больше инструментов безопасности могут его обнаружить, включая его собственные бесплатные приложения с открытым исходным кодом.
Вредоносное ПО для Mac по-прежнему встречается относительно редко по сравнению с Windows, но представляет собой растущую угрозу. По большей части это просто рекламное ПО, выполняющее такие действия, как взлом браузеров для отображения рекламы, размещенной злоумышленниками, но SysJoker показывает, что есть и более опасные примеры.
Как всегда, лучшая защита от вредоносного ПО — соблюдение мер предосторожности, основанных на здравом смысле. Никогда не открывайте вложения, даже от известных контактов, если вы их не ожидаете, и никогда ничего не загружайте с веб-сайта, если вы не уверены, что этому можно доверять.
