Cuidado! O malware CrossRAT indetectável visa sistemas Windows, MacOS e Linux

Crossware-espionagem-malware
Você está usando Linux ou Mac OS? Se você acha que seu sistema não é propenso a vírus, então você deve ler isso.

A ampla gama de cibercriminosos agora está usando uma nova peça de malware de espionagem "indetectável" que visa os sistemas Windows, MacOS, Solaris e Linux.

E abrange uma nova peça de malware multi-plataforma chamada CrossRAT(versão 0.1), que se acredita ser desenvolvido por, ou para, o grupo Dark Caracal.

CrossRAT é um trojan de acesso remoto multiplataforma que pode segmentar os quatro sistemas operacionais populares de desktop, Windows, Solaris, Linux e MacOS, permitindo que atacantes remotos manipulem o sistema de arquivos, levante screenshots, executem executáveis ​​arbitrários e ganhem persistência nos infectados sistemas.

De acordo com pesquisadores, os hackers da Dark Caracal não dependem de "explorações de dia zero" para distribuir seu malware; Em vez disso, ele usa engenharia social básica através de postagens em grupos do Facebook e mensagens da WhatsApp, incentivando os usuários a visitar sites falsos controlados por hackers e baixar aplicativos maliciosos.

CrossRAT é escrito em linguagem de programação Java, tornando mais fácil para engenheiros reversos e pesquisadores descompilá-lo.
crossrat-malware

Uma vez que no momento da escrita, apenas duas das 58 soluções populares de antivírus (de acordo com o  VirusTotal ) podem detectar CrossRAT, o hacker ex-NSA, Patrick Wardle, decidiu analisar o malware e fornecer uma visão geral abrangente, incluindo o mecanismo de persistência, comando e controle de comunicação como bem como suas capacidades.

CrossRAT 0.1 - Malware de vigilância persistente de plataforma cruzada


Uma vez executado no sistema direcionado, o implante ( hmar6.jar ) primeiro verifica o sistema operacional em que ele está sendo executado e depois se instala de acordo.

Além disso, o implante CrossRAT também tenta reunir informações sobre o sistema infectado, incluindo a versão do SO instalada, a construção do kernel e a arquitetura.

Além disso, para os sistemas Linux, o malware também tenta consultar os arquivos systemd para determinar sua distribuição, como Arch Linux, Centos, Debian, Kali Linux, Fedora e Linux Mint, entre muitos outros.

CrossRAT, em seguida, implementa mecanismos de persistência específicos do sistema operacional automaticamente (re) executa sempre que o sistema infectado é reiniciado e se registra no servidor C & C, permitindo que invasores remotos enviem comandos e exfiltrate dados.

Conforme relatado pelos pesquisadores da Lookout, a variante CrossRAT distribuída pelo grupo de hacking Dark Caracal se conecta a ' flexberry (dot) com ' na porta 2223, cuja informação está codificada no arquivo 'crossrat / k.class'.

CrossRAT inclui o módulo de keylogger inativo

comandos cruzados
O malware foi projetado com algumas capacidades básicas de vigilância, que são ativadas somente quando recebidos os respectivos comandos predefinidos do servidor C & C.

Curiosamente, Patrick percebeu que o CrossRAT também foi programado para usar ' jnativehook ' , uma biblioteca Java de código aberto para ouvir eventos de teclado e mouse, mas o malware não possui nenhum comando predefinido para ativar este keylogger.
"No entanto, não vi nenhum código dentro desse implante que referia o pacote jnativehook, então, neste ponto, parece que essa funcionalidade não é alavancada. Pode haver uma boa explicação para isso. Conforme observado no relatório, o malware identifica É a versão como 0.1, talvez indicando que ainda é um trabalho em andamento e, portanto, não é completo, "disse Patrick.

Como verificar se você está infectado com CrossRAT?


Como o CrossRAT persiste de forma específica do sistema operacional, a detecção do malware dependerá do sistema operacional que você está executando.

Para Windows:
  • Verifique a chave de registro 'HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \'.
  • Se infectado, ele conterá um comando que inclua java, -jar e mediamgrs.jar.
Para macos:
  • Verifique o arquivo jar, mediamgrs.jar, em ~ / Library.
  • Procure também o agente de lançamento em / Library / LaunchAgents ou ~ / Library / LaunchAgents chamado mediamgrs.plist.
Para Linux:
  • Verifique o arquivo jar, mediamgrs.jar, em / usr / var.
  • Procure também um arquivo 'autostart' no ~ / .config / autostart provavelmente chamado mediamgrs.desktop.

Como proteger contra CrossRAT Trojan?

malware-crossrat-windows-linux-mac
Apenas 2 dos 58 produtos antivírus detectam CrossRAT no momento da escrita, o que significa que seu AV dificilmente o protegeria dessa ameaça.
"Como o CrossRAT está escrito em Java, ele requer que o Java seja instalado. Por sorte as versões recentes do macoss não são fornecidas com o Java", disse Patrick.
"Assim, a maioria dos usuários do macOS deve estar seguro! Claro, se um usuário do Mac já tiver Java instalado ou o atacante for capaz de coagir um usuário ingênuo para instalar o Java primeiro, CrossRAT será executado apenas dandy, mesmo na versão mais recente do MacOS (Serra alta) ".
Os usuários são aconselhados a instalar software de detecção de ameaças baseado em comportamento. Os usuários de Mac podem usar o BlockBlock , um utilitário simples desenvolvido por Patrick que alerta os usuários quando qualquer coisa está instalada persistentemente.

Comentários