Cuidado! O malware CrossRAT indetectável ataca sistemas Windows, MacOS e Linux

Você está usando Linux ou Mac OS? Se você acha que seu sistema não é propenso a vírus, então você deve ler isso.

crossrat-spying-malwareaiconsultoria

A ampla gama de cibercriminosos agora está usando uma nova peça de malware de espionagem “indetectável” que visa os sistemas Windows, MacOS, Solaris e Linux.

Na semana passada, publicamos um artigo detalhado sobre o relatório da EFF / Lookout que revelou um novo grupo de ameaças persistentes avançadas (APT), chamado Dark Caracal , envolvido em campanhas globais de espionagem móvel.

Embora o relatório tenha revelado sobre as operações bem-sucedidas de hacking de grande escala do grupo contra telefones celulares, em vez de computadores, também lança luz sobre uma nova peça de malware multiplataforma chamada CrossRAT (versão 0.1), que se acredita ser desenvolvido por, ou para, o grupo Dark Caracal.

CrossRAT é um trojan de acesso remoto multiplataforma que pode segmentar os quatro sistemas operacionais populares de desktop, Windows, Solaris, Linux e MacOS, permitindo que atacantes remotos manipulem o sistema de arquivos, levante screenshots, executem executáveis ​​arbitrários e ganhem persistência nos infectados sistemas.

De acordo com pesquisadores, os hackers da Dark Caracal não dependem de “explorações de dia zero” para distribuir seu malware; em vez disso, ele usa engenharia social básica através de postagens em grupos do Facebook e mensagens da WhatsApp, incentivando os usuários a visitar sites falsos controlados por hackers e baixar aplicativos maliciosos.

CrossRAT é escrito em linguagem de programação Java, tornando mais fácil para engenheiros reversos e pesquisadores descompilá-lo.

crossrat-malware

Uma vez que no momento da escrita, apenas duas das 58 soluções populares de antivírus (de acordo com o VirusTotal ) podem detectar CrossRAT, o hacker ex-NSA, Patrick Wardle, decidiu analisar o malware e fornecer uma visão geral abrangente, incluindo o mecanismo de persistência, comando e controle de comunicação como bem como suas capacidades.

Uma vez executado no sistema direcionado, o implante ( hmar6.jar ) primeiro verifica o sistema operacional em que ele está sendo executado e depois se instala de acordo.

Além disso, o implante CrossRAT também tenta reunir informações sobre o sistema infectado, incluindo a versão do SO instalada, a construção do kernel e a arquitetura.

Além disso, para os sistemas Linux, o malware também tenta consultar os arquivos systemd para determinar sua distribuição, como Arch Linux, Centos, Debian, Kali Linux, Fedora e Linux Mint, entre muitos outros.

CrossRAT, em seguida, implementa mecanismos de persistência específicos do sistema operacional automaticamente (re) executa sempre que o sistema infectado é reiniciado e se registra no servidor C & C, permitindo que invasores remotos enviem comandos e exfiltrate dados.

Conforme relatado pelos pesquisadores da Lookout, a variante CrossRAT distribuída pelo grupo de hacking Dark Caracal se conecta a ‘ flexberry (dot) com ‘ na porta 2223, cuja informação está codificada no arquivo ‘crossrat / k.class’.

CrossRAT inclui o módulo de keylogger inativo

crossrat-commands

O malware foi projetado com algumas capacidades básicas de vigilância, que são ativadas somente quando recebidos os respectivos comandos predefinidos do servidor C & C.

Curiosamente, Patrick percebeu que o CrossRAT também foi programado para usar ‘ jnativehook ‘, uma biblioteca Java de código aberto para ouvir eventos de teclado e mouse, mas o malware não possui nenhum comando predefinido para ativar este keylogger.

    “No entanto, não vi nenhum código dentro desse implante que referia o pacote jnativehook, então, neste ponto, parece que essa funcionalidade não é alavancada. Pode haver uma boa explicação para isso. Conforme observado no relatório, o malware identifica. É a versão como 0.1, talvez indicando que ainda é um trabalho em andamento e, portanto, não é completo, “disse Patrick.

Como verificar se você está infectado com CrossRAT?

Como o CrossRAT persiste de forma específica do sistema operacional, a detecção do malware dependerá do sistema operacional que você está executando.

Para Windows:

    Verifique a chave de registro ‘HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \’.

    Se infectado, ele conterá um comando que inclua java, -jar e mediamgrs.jar.

Para macos:

    Verifique o arquivo jar, mediamgrs.jar, em ~ / Library.

    Procure também o agente de lançamento em / Library / LaunchAgents ou ~ / Library / LaunchAgents chamado mediamgrs.plist.

Para Linux:

    Verifique o arquivo jar, mediamgrs.jar, em / usr / var.

    Procure também um arquivo ‘autostart’ no ~ / .config / autostart provavelmente chamado mediamgrs.desktop.

Como proteger contra CrossRAT Trojan?

malware-crossrat-windows-linux-mac

Apenas 2 dos 58 produtos antivírus detectam CrossRAT no momento da escrita, o que significa que seu AV dificilmente o protegeria dessa ameaça.

    “Como o CrossRAT está escrito em Java, ele requer que o Java seja instalado. Por sorte as versões recentes do macos não são fornecidas com o Java”, disse Patrick.

    “Assim, a maioria dos usuários do macOS deve estar seguro! Claro, se um usuário do Mac já tiver Java instalado ou o atacante for capaz de coagir um usuário ingênuo para instalar o Java primeiro, CrossRAT será executado apenas dandy, mesmo na versão mais recente do MacOS (Serra alta) “.

Os usuários são aconselhados a instalar software de detecção de ameaças baseado em comportamento. Os usuários de Mac podem usar o BlockBlock, um utilitário simples desenvolvido por Patrick que alerta os usuários quando qualquer coisa está instalada persistentemente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s