针对Windows、macOS和Linux用户的新SysJoker间谍恶意软件

一个新的跨平台后门叫做“SysJoker" has been observed targeting machines running Windows, Linux, and macOS operating systems as part of an ongoing espionage campaign that's believed to have been initiated during the second half of 2021.

“SysJoker伪装成一个系统更新，通过解码从Google Drive上托管的文本文件中检索到的字符串来生成其[命令和控制服务器]，”Intezer的研究人员Avigayl Mechtinger、Ryan Robinson和Nicole Fishbein在一篇技术文章中公布了他们的发现。“根据受害者学和恶意软件的行为，我们评估SysJoker是针对特定目标的。”

以色列网络安全公司将这项工作归功于一名高级威胁演员，称它在2021年12月发现了一个植入物的证据，这是针对一个未命名的教育机构的一个基于Linux的Web服务器的主动攻击。

SysJoker是一个基于C++的恶意软件，通过一个dropper文件从远程服务器发送，该服务器在执行时被设计为收集有关受损主机的信息，例如MAC地址、用户名、物理媒体序列号和IP地址，所有这些都被编码并传输回服务器。

此外，通过从托管文本文件（“domain.txt”）的硬编码谷歌驱动器链接中提取域的URL，建立与攻击者控制的服务器的连接，使服务器能够向机器转发指令，允许恶意软件运行任意命令和可执行文件，然后将结果传回。

“这段代码是从头开始编写的，以前在其他攻击中没有出现过[而且]我们还没有看到攻击者发出的第二阶段或命令[…；]这表明攻击是特定的，通常适合高级演员，”研究人员说。