Você está usando Linux ou Mac OS? Se você acha que seu sistema não é propenso a vírus, então você deve ler isso.
A ampla gama de cibercriminosos agora está usando uma nova peça de malware de espionagem "indetectável" que visa os sistemas Windows, MacOS, Solaris e Linux.
E abrange uma nova peça de malware multi-plataforma chamada CrossRAT(versão 0.1), que se acredita ser desenvolvido por, ou para, o grupo Dark Caracal.
A ampla gama de cibercriminosos agora está usando uma nova peça de malware de espionagem "indetectável" que visa os sistemas Windows, MacOS, Solaris e Linux.
E abrange uma nova peça de malware multi-plataforma chamada CrossRAT(versão 0.1), que se acredita ser desenvolvido por, ou para, o grupo Dark Caracal.
CrossRAT é um trojan de acesso remoto multiplataforma que pode segmentar os quatro sistemas operacionais populares de desktop, Windows, Solaris, Linux e MacOS, permitindo que atacantes remotos manipulem o sistema de arquivos, levante screenshots, executem executáveis arbitrários e ganhem persistência nos infectados sistemas.
De acordo com pesquisadores, os hackers da Dark Caracal não dependem de "explorações de dia zero" para distribuir seu malware; Em vez disso, ele usa engenharia social básica através de postagens em grupos do Facebook e mensagens da WhatsApp, incentivando os usuários a visitar sites falsos controlados por hackers e baixar aplicativos maliciosos.
CrossRAT é escrito em linguagem de programação Java, tornando mais fácil para engenheiros reversos e pesquisadores descompilá-lo.
Uma vez que no momento da escrita, apenas duas das 58 soluções populares de antivírus (de acordo com o VirusTotal ) podem detectar CrossRAT, o hacker ex-NSA, Patrick Wardle, decidiu analisar o malware e fornecer uma visão geral abrangente, incluindo o mecanismo de persistência, comando e controle de comunicação como bem como suas capacidades.
CrossRAT 0.1 - Malware de vigilância persistente de plataforma cruzada
Uma vez executado no sistema direcionado, o implante ( hmar6.jar ) primeiro verifica o sistema operacional em que ele está sendo executado e depois se instala de acordo.
Além disso, o implante CrossRAT também tenta reunir informações sobre o sistema infectado, incluindo a versão do SO instalada, a construção do kernel e a arquitetura.
Além disso, para os sistemas Linux, o malware também tenta consultar os arquivos systemd para determinar sua distribuição, como Arch Linux, Centos, Debian, Kali Linux, Fedora e Linux Mint, entre muitos outros.
CrossRAT, em seguida, implementa mecanismos de persistência específicos do sistema operacional automaticamente (re) executa sempre que o sistema infectado é reiniciado e se registra no servidor C & C, permitindo que invasores remotos enviem comandos e exfiltrate dados.
Conforme relatado pelos pesquisadores da Lookout, a variante CrossRAT distribuída pelo grupo de hacking Dark Caracal se conecta a ' flexberry (dot) com ' na porta 2223, cuja informação está codificada no arquivo 'crossrat / k.class'.
CrossRAT inclui o módulo de keylogger inativo
Curiosamente, Patrick percebeu que o CrossRAT também foi programado para usar ' jnativehook ' , uma biblioteca Java de código aberto para ouvir eventos de teclado e mouse, mas o malware não possui nenhum comando predefinido para ativar este keylogger.
"No entanto, não vi nenhum código dentro desse implante que referia o pacote jnativehook, então, neste ponto, parece que essa funcionalidade não é alavancada. Pode haver uma boa explicação para isso. Conforme observado no relatório, o malware identifica É a versão como 0.1, talvez indicando que ainda é um trabalho em andamento e, portanto, não é completo, "disse Patrick.
Como verificar se você está infectado com CrossRAT?
Como o CrossRAT persiste de forma específica do sistema operacional, a detecção do malware dependerá do sistema operacional que você está executando.
Para Windows:
- Verifique a chave de registro 'HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \'.
- Se infectado, ele conterá um comando que inclua java, -jar e mediamgrs.jar.
- Verifique o arquivo jar, mediamgrs.jar, em ~ / Library.
- Procure também o agente de lançamento em / Library / LaunchAgents ou ~ / Library / LaunchAgents chamado mediamgrs.plist.
- Verifique o arquivo jar, mediamgrs.jar, em / usr / var.
- Procure também um arquivo 'autostart' no ~ / .config / autostart provavelmente chamado mediamgrs.desktop.
Como proteger contra CrossRAT Trojan?
"Como o CrossRAT está escrito em Java, ele requer que o Java seja instalado. Por sorte as versões recentes do macoss não são fornecidas com o Java", disse Patrick.
"Assim, a maioria dos usuários do macOS deve estar seguro! Claro, se um usuário do Mac já tiver Java instalado ou o atacante for capaz de coagir um usuário ingênuo para instalar o Java primeiro, CrossRAT será executado apenas dandy, mesmo na versão mais recente do MacOS (Serra alta) ".Os usuários são aconselhados a instalar software de detecção de ameaças baseado em comportamento. Os usuários de Mac podem usar o BlockBlock , um utilitário simples desenvolvido por Patrick que alerta os usuários quando qualquer coisa está instalada persistentemente.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário