Кибер престъпници, които се целят във възможно най-голям брой машини, разпространяват труднооткриваем кросплатформен малуер с името CrossRAT, който засега е с версия version 0.1 и засяга Windows, Linux, macOS и Solaris системи, съобщават от Digita Security. Засега се счита, че той е дело на Dark Caracal групата.
CrossRAT представлява кросплатформен троянец за отдалечен достъп, който дава възможност на атакуващите да изпълняват произволен код, да променят файловата система, да заснемат скрийншоти, а също така и да осигурят съществуването на вируса в системата и занапред.
CrossRAT е написан на Java и според разработчиците не използва zero-day уязвимости, а разчита на социален инженеринг във Facebook и WhatsApp, подмамвайки потребителите да посещават опасни фалшиви сайтове и да свалят зловредни приложения.
Веднъж свален и стартиран от жертвата, CrossRAT проверява вида на операционната система и се инсталира в съответствие с нея. Допълнително вирусът се опитва да събере информация за операционната система, архитектурата му, версия на ядрото, версия на операционната система и пр. При Linux за тази цел той използва systemd.
Това се прави с цел, за да може да си изгради защитни механизми според спецификата на операционната система и да може да се самостартира при всяко рестартиране на компютъра и да се регистрира отново към командния сървър, което пък от своя страна дава постоянна връзка на атакуващите и възможност за извличане на информация.
Разработчиците от Lookout са установили, че CrossRAT се свързва към flexberry.com през порт 2223 и че притежава функции за наблюдение, които се активират, когато се получи команда от сървъра, а също така се използва и Java библиотеката с отворен код jnativehook, за наблюдение на активността на мишката и клавиатурата, но поне засега няма команда, която да активира този кийлогър. Очевидно е обаче, че тя е заложена като опция за бъдещо използване.
Засега само 2 от 58 антивирусни решения във VirusTotal засичат CrossRAT като опасност – учудващо антивирусната на Microsoft и TrendMicro HouseCall, което означава, че засега вероятността вашата антивирусна да ви предпази е минимална. Задължително условие за заразяването с CrossRAT е на компютъра да има инсталиран Java.
А ето как можете да проверите дали сте заразени с CrossRAT:
За Linux:
Проверете за автоматично стартиращ се файл l ~/.config/autostart, който обикновено се каззва „mediamgrs.desktop“. Също така проверете за mediamgrs.jar файл в /usr/var.
За Windows:
Проверете за ключ HKCUSoftwareMicrosoftWindowsCurrentVersionRun в RegEdit. Ако сте заразени, ще се съдържат команди java, -jar и mediamgrs.jar.
За macOS:
Потърсете в ~/Library за файл с наименование „mediamgrs.jar“. Също така погледнете за стартиращ агент в /Library/LaunchAgents или ~/Library/LaunchAgents. Ако сте заразени, ще фигурира файл с име „mediamgrs.plist“.