现在很多产品都标榜跨平台，而恶意软体也不例外，我们最常见的恶意软体，通常将攻击目标瞄准在单一作业系统上，不过这次出现的新款後门恶意软体非常特别，可以说打破过去我们的既定印象。这一款被命名为「SysJoker」是最新被发现的跨平台恶意软体，可影响到 Windows、macOS 和 Linux 三种系统。

新的「三位一体」後门恶意软体出现，Windows、macOS 与 Linux 都会受害

虽说以 Windows 系统为目标的恶意软体一抓一大把，但真正能够在 Windows、macOS 与 Linux 三种不同平台上逞凶的恶意软体很罕见。在 2021 年 12 月时， Intezer 的安全研究人员首度发现这款恶意软体并将之命名为「SysJoker」。从某种角度来说，SysJoker 在 Windows 以外的两个平台上更加狡猾，VirusTotal 也无法检测到恶意软体在 Linux 和 macOS 上的种种迹象。

▲在一部已经受感染的 M1 版 Mac 上使用 VirusTotal 也扫不出 SysJoker

SysJoker 的攻击走我们已经耳熟能详的「开後门」方式，为利用它的攻击者提供一个秘密间谍工具，可以隐密地渗透系统并控制上面的所有操作。Intezel 推断， SysJoker 应该是高阶威胁参与者（Advanced Threat Actor）的产物，并且暗示有潜在勒索软体的风险，在该单位的报告中写道：「根据恶意软体的能力」，我们评估攻击的目标是间谍活动，以及横向的扩散，很可能也会将投放勒索软体作为下一阶段的攻击。」

SysJoker 伪装成系统更新，并通过解码从 Google 云端硬碟上托管文件档案中检索到的字串来生成其 C2。在 Intezer 分析过程中，C2 更改了三次，表明攻击者处於活动状态并正在监视受感染的电脑，根据受害者和恶意软体的行为，可推断 SysJoker 或许在追逐特定目标。SysJoker 已上传到 VirusTotal，後缀为.ts，用於 TypeScript 档，此恶意软体很可能是透过受感染的 npm 包为散播媒介。下图就是 SysJoker 与 C2 的通讯流程：

这款恶意软体是从零开始重新编写，并非其他恶意软体的变种，其细节在以往的攻击中未曾见过，在过去的实务上也几乎没有发现过针对 Linux 的恶意软体。攻击者注册了至少 4 个不同的网域，并且从头开始为 Windows、macOS 与 Linux 编写，心思之缜密、手法之新颖很有观察的价值。在整个分析过程中，Intezer 也没有发现攻击者送出第二阶段攻击或指令，这表明该攻击有特定目标与特定操控者，多半会是由高阶威胁参与者（Advanced Threat Actor）执行下一步骤。