【恶意软件伪装成系统更新，通杀 Win / Mac / Linux 三大系统，隐藏半年才被发现】能同时攻击 Windows、Mac、Linux 三大操作系统的恶意软件出现了。虽然“全平台通杀”病毒并不常见，但是安全公司 Intezer 的研究人员发现，有家教育公司在上个月中了招。 更可怕的是，他们通过分析域名和病毒库发现，这个恶意软件已经存在半年之久，只是直到最近才被检测到。他们把这个恶意软件命名为 SysJoker。 SysJoker 核心部分是后缀名为“.ts”的 TypeScript 文件，一旦感染就能被远程控制，方便黑客进一步后续攻击，比如植入勒索病毒。SysJoker 用 C++ 编写，每个变体都是为目标操作系统量身定制，之前在 57 个不同反病毒检测引擎上都未被检测到。 那么 SysJoker 到底是如何通杀三大系统的？ SysJoker 在三种操作系统中的行为类似，下面将以 Windows 为例展示 SysJoker 的行为。 首先，SysJoker 会伪装成系统更新。一旦用户将其误认为更新文件开始运行，它就会随机睡眠 90 到 120 秒，然后在 C:\ProgramData\SystemData\ 目录下复制自己，并改名为 igfxCUIService.exe，伪装成英特尔图形通用用户界面服务。 接下来，它使用 Live off the Land（LOtL）命令收集有关机器的信息，包括 MAC 地址、用户名、物理媒体序列号和 IP 地址等。SysJoker 使用不同的临时文本文件来记录命令的结果。这些文本文件会立即删除，存储在 JSON 对象中，然后编码并写入名为 microsoft_windows.dll 的文件。 此外，SysJoker 收集之后软件向注册表添加键值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 保证其持久存在。 在上述每个步骤之间，恶意软件都会随机睡眠，防止被检测到。接下来，SysJoker 将开始建立远程控制（C2）通信。方式是通过下载从 Google Drive 托管的文本文件，来生成远程控制。