據The Hacker News網站報道，一個名為“ SysJoker ”的新型惡意軟件正對Windows、Linux 和 macOS 操作系統構成威脅，可利用跨平臺后門來從事間諜活動。

Intezer 研究人員宣稱，他們于去年12月首次發現SysJoker，當時SysJoker 正對一家教育機構基于 Linux 的 Web 服務器發動攻擊。

SysJoker 采用C++ 編寫，通過遠程服務器的 dropper 文件傳遞​​，該文件在執行時旨在收集有關受感染主機的信息，例如 MAC 地址、用戶名、物理媒體序列號和 IP 地址等。

SysJoker會根據不同的操作系統量身定制，偽裝成系統更新，通過解碼從托管在 Google Drive 上的文本文件中檢索到的字符串來生成其 C2(攻擊者發送控制命令的服務端、服務器等“基礎設施”)。SysJoker在研究人員對其進行分析的過程中，C2更新了3次，但并未發送下一步的命令，表明攻擊者處于活躍狀態并正在監視受感染的設備。據受害者學和惡意軟件的行為，研究人員認為 SysJoker 針對的是特定目標。

Netenrich 的首席威脅獵手 John Bambenek 表示，大多數現代組織都運行各種平臺，因此攻擊者希望將他們的工具移植到多個平臺也就不足為奇了。而一些實力和資源強大的攻擊者會通過各種手段去攻擊目標環境中的任何東西，并為了達到目的不斷調整、優化相關技術。

此外，他還認為，攻擊者通過谷歌等在線服務作為攻擊鏈或C2的一部分，反映出各個云供應商在攻擊過程中被充分利用，這個問題需要供應商予以解決。

參考來源：

• https://thehackernews.com/2022/01/new-sysjoker-espionage-malware.html
• https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/