尚未检测到 Windows、macOS 和 Linux 的后门

研究人员发现了一个前所未有的后门，它针对运行 Windows、macOS 或 Linux 的系统从头开始编写，几乎所有恶意软件扫描引擎都无法检测到该后门。

来自安全公司 Intezer 的研究人员 他说 他们在一家“领先教育机构”的基于 Linux 的 Web 服务器上发现了 SysJoker——他们给后门取的名字。 在搜索研究人员时，他们发现了适用于 Windows 和 macOS 的 SysJoker 版本。 他们怀疑该恶意软件是在去年下半年跨平台启动的。

由于几个原因，这一发现很重要。 首先，跨平台恶意软件很少见，因为大多数恶意软件都是为特定操作系统编写的。 Backdoor 也是从头开始编写的，并使用了四个独立的命令和控制服务器，这表明开发和使用它的人是投入大量资源的高级威胁参与者的一部分。 在现实世界的攻击中发现以前从未见过的 Linux 恶意软件也很不寻常。

对 Windows 版本（由 Intezer）和 Mac 版本（由研究员 Patrick Wardle）的分析发现 SysJoker 提供了先进的后门功能。 Windows 和 macOS 版本的可执行文件具有 .ts 后缀。 Entizer 说，这可能表明该文件被伪装成一个文件 编写脚本 该应用程序在入侵 npm javascript 存储库后迅速走红。 Entizer 继续说 SysJoker 伪装成系统更新。

与此同时，Wardle 表示 .ts 扩展名可能表明该文件被伪装成 视频传输流 内容。 它还发现 macOS 文件经过数字签名，尽管扩展名为 . 特别签名.

SysJoker 是用 C++ 编写的，截至周二，VirusTotal 的恶意软件搜索引擎尚未检测到所有 Linux 和 macOS 版本。 Backdoor 通过解码从托管在 Google Drive 上的文本文件中检索到的字符串来创建自己的控制服务器域。 在研究人员分析它的过程中，服务器被更改了 3 次，表明攻击者处于活动状态并监控受感染的机器。

根据目标组织和恶意软件行为，Intezer 的评估是 SysJoker 追求特定目标，最有可能的目标是“间谍活动以及横向移动，也可能导致勒索软件攻击作为下一阶段之一”。