Una gran variedad de ciberdelincuentes utilizan ahora una nueva pieza de malware de espionaje «indetectable» que se dirige a sistemas Windows, macOS, Solaris y Linux.

La semana pasada hemos publicado un artículo detallado en el informe del FEP / puesto de observación que reveló un nuevo grupo avanzado amenaza persistente (APT), llamado oscuro Caracal , que participan en las campañas globales de espionaje móviles.

Aunque el informe reveló las exitosas operaciones de piratería a gran escala del grupo contra teléfonos móviles en lugar de computadoras, también arrojó luz sobre un nuevo malware multiplataforma llamado CrossRAT.(versión 0.1), que se cree que fue desarrollado por, o para, el grupo Dark Caracal.

CrossRAT es un troyano de acceso remoto multiplataforma que puede apuntar a los cuatro sistemas operativos de escritorio populares, Windows, Solaris, Linux y macOS, permitiendo a los atacantes remotos manipular el sistema de archivos, tomar capturas de pantalla, ejecutar ejecutables arbitrarios y ganar persistencia en los infectados sistemas.

Según los investigadores, los hackers de Dark Caracal no dependen de ningún «exploits de día cero» para distribuir su malware; en su lugar, utiliza ingeniería social básica a través de publicaciones en grupos de Facebook y mensajes de WhatsApp, alentando a los usuarios a visitar sitios web falsos controlados por hackers y descargar aplicaciones maliciosas.

CrossRAT está escrito en lenguaje de programación Java, lo que facilita la descompilación de ingenieros e investigadores inversos.

crossrat-malware

Dado que en el momento de escribir solo dos de las 58 soluciones antivirus populares (según  VirusTotal ) pueden detectar CrossRAT, el ex hacker de la NSA Patrick Wardle decidió analizar el malware y proporcionar una descripción técnica integral que incluye su mecanismo de persistencia, comando y comunicación de control como así como sus capacidades.

CrossRAT 0.1 – Malware de vigilancia persistente multiplataforma

Una vez ejecutado en el sistema de destino, el implante ( hmar6.jar ) primero verifica el sistema operativo en el que se está ejecutando y luego se instala en consecuencia.

Además de esto, el implante CrossRAT también intenta recopilar información sobre el sistema infectado, incluida la versión del SO instalada, la construcción del kernel y la arquitectura.

Además, para los sistemas Linux, el malware también intenta consultar los archivos del sistema para determinar su distribución, como Arch Linux, Centos, Debian, Kali Linux, Fedora y Linux Mint, entre muchos más.

CrossRAT luego implementa mecanismos de persistencia específicos del SO para automáticamente (re) ejecutar cada vez que se reinicia el sistema infectado y registrarse en el servidor de C & C, permitiendo a los atacantes remotos enviar comandos y exfiltrar datos.

Según informaron investigadores de Lookout, la variante CrossRAT distribuida por el grupo de piratería Dark Caracal se conecta a ‘ flexberry (dot) com ‘ en el puerto 2223, cuya información está codificada en el archivo ‘crossrat / k.class’.

CrossRAT incluye el módulo Inactivo Keylogger

comandos de cruce

El malware ha sido diseñado con algunas capacidades de vigilancia básicas, que se activan solo cuando reciben los comandos predefinidos respectivos del servidor de C & C.

Curiosamente, Patrick notó que CrossRAT también ha sido programado para usar ‘ jnativehook ‘ , una biblioteca Java de código abierto para escuchar eventos de teclado y mouse, pero el malware no tiene ningún comando predefinido para activar este keylogger.

«Sin embargo, no vi ningún código dentro de ese implante que hiciera referencia al paquete jnativehook, por lo que en este momento parece que esta funcionalidad no está aprovechada. Puede haber una buena explicación para esto. Como se señala en el informe, el malware identifica su versión es 0.1, tal vez indicando que todavía está en proceso y por lo tanto no está completa «, dijo Patrick.

Cómo comprobar si está infectado con CrossRAT?

Debido a que CrossRAT persiste en una manera específica de sistema operativo, la detección del malware dependerá del sistema operativo que esté ejecutando.

Para ventanas:

  • Compruebe la clave de registro ‘HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \’.
  • Si está infectado, contendrá un comando que incluye, java, -jar y mediamgrs.jar.

Para macOS:

  • Compruebe el archivo jar, mediamgrs.jar, en ~ / Biblioteca.
  • Busque también el agente de lanzamiento en / Library / LaunchAgents o ~ / Library / LaunchAgents llamado mediamgrs.plist.

Para Linux:

  • Verifique el archivo jar, mediamgrs.jar, en / usr / var.
  • Busque también un archivo ‘autostart’ en ~ / .config / autostart probablemente llamado mediamgrs.desktop.

¿Cómo protegerse contra CrossRAT Trojan?

malware-crossrat-windows-linux-mac

Solo 2 de los 58 productos antivirus detectan CrossRAT en el momento de la redacción, lo que significa que su AV apenas lo protegerá de esta amenaza.

«Como CrossRAT está escrito en Java, requiere la instalación de Java. Afortunadamente, las versiones recientes de macOS no incluyen Java», dijo Patrick.

«Por lo tanto, la mayoría de los usuarios de macOS deberían estar seguros. Por supuesto, si un usuario de Mac ya tiene Java instalado, o si el atacante es capaz de obligar a un usuario ingenuo a instalar primero Java, CrossRAT funcionará perfectamente, incluso en la última versión de macOS (High Sierra) «.

Se recomienda a los usuarios instalar software de detección de amenazas basado en el comportamiento. Los usuarios de Mac pueden usar BlockBlock , una sencilla herramienta desarrollada por Patrick que alerta a los usuarios cada vez que algo se instala persistentemente.

Fuente: www.thehackernews.com

Compartir