¿Estás usando Linux o Mac OS? Si crees que tu sistema no es propenso a los virus, deberías leer esto.

Una gran variedad de ciber-delincuentes utilizan ahora una nueva pieza de malware de espionaje “indetectable” que se dirige a sistemas Windows, macOS, Solaris y Linux.

La semana pasada hemos publicado un artículo detallado en el informe del EFF/Lookout que reveló un nuevo grupo avanzado de amenaza persistente (APT), llamado  Dark Caracal, que participan en las campañas globales de espionaje móviles.

Aunque el informe reveló las exitosas operaciones de piratería a gran escala del grupo contra teléfonos móviles en lugar de computadoras, también arrojó luz sobre un nuevo malware multiplataforma llamado CrossRAT.(versión 0.1), que se cree que fue desarrollado por o para el grupo Dark Caracal.

CrossRAT es un troyano de acceso remoto multiplataforma que puede apuntar a los cuatro sistemas operativos de escritorio populares, Windows, Solaris, Linux y macOS, permitiendo a los atacantes remotos manipular el sistema de archivos, tomar capturas de pantalla, activar ejecutables arbitrarios y ganar persistencia en los sistemas infectados.

Según los investigadores, los hackers de Dark Caracal no dependen de ningún “exploits de día cero” para distribuir su malware; en su lugar, utiliza ingeniería social básica a través de publicaciones en grupos de Facebook y mensajes de WhatsApp, alentando a los usuarios a visitar sitios web falsos controlados por hackers y descargar aplicaciones maliciosas.

CrossRAT está escrito en lenguaje de programación Java, lo que facilita la descompilación de ingenieros e investigadores inversos.

Dado que en el momento de escribir solo dos de las 58 soluciones antivirus populares (según VirusTotal ) pueden detectar CrossRAT, el ex hacker de la NSA Patrick Wardle decidió analizar el malware y proporcionar una descripción technical overview que incluye su mecanismo de persistencia, comando y comunicación de control como así como sus capacidades.

CrossRAT 0.1 – Malware de vigilancia persistente multiplataforma

Una vez ejecutado en el sistema de destino, el implante ( hmar6.jar ) primero verifica el sistema operativo en el que se está ejecutando y luego se instala en consecuencia.

Además de esto, el implante CrossRAT también intenta recopilar información sobre el sistema infectado, incluida la versión del SO instalada, la construcción del kernel y la arquitectura.

Además, para los sistemas Linux, el malware también intenta consultar los archivos del sistema para determinar su distribución, como Arch Linux, Centos, Debian, Kali Linux, Fedora y Linux Mint, entre muchos más.

CrossRAT luego implementa mecanismos de persistencia específicos del SO para automáticamente (re) ejecutar cada vez que se reinicia el sistema infectado y registrarse en el servidor de C & C, permitiendo a los atacantes remotos enviar comandos y exfiltrar datos.

Según informaron investigadores de Lookout, la variante CrossRAT distribuida por el grupo de piratería Dark Caracal se conecta a ‘ flexberry (dot) com ‘ en el puerto 2223, cuya información está codificada en el archivo ‘crossrat / k.class’.

CrossRAT incluye el módulo Inactivo Keylogger

El malware ha sido diseñado con algunas capacidades de vigilancia básicas, que se activan solo cuando reciben los comandos predefinidos respectivos del servidor de C & C.

Curiosamente, Patrick notó que CrossRAT también ha sido programado para usar “’jnativehook”, una biblioteca Java de código abierto para escuchar eventos de teclado y mouse, pero el malware no tiene ningún comando predefinido para activar este keylogger.

“Sin embargo, no vi ningún código dentro de ese implante que hiciera referencia al paquete jnativehook, por lo que en este momento parece que esta funcionalidad no está aprovechada. Puede haber una buena explicación para esto. Como se señala en el informe, el malware identifica su versión es 0.1, tal vez indicando que todavía está en proceso y por lo tanto no está completa “, dijo Patrick.

Cómo comprobar si está infectado con CrossRAT?

Debido a que CrossRAT persiste en una manera específica de sistema operativo, la detección del malware dependerá del sistema operativo que esté ejecutando.

Para Windows:

• Compruebe la clave de registro ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run\’ registry key.

• Si está infectado, contendrá un comando que incluye, java, -jar y mediamgrs.jar.

Para MacOS:

• Compruebe el archivo jar, mediamgrs.jar, en ~ / Biblioteca.

• Busque también el agente de lanzamiento en / Library / LaunchAgents o ~ / Library / LaunchAgents llamado mediamgrs.plist.

Para Linux:

• Verifique el archivo jar, mediamgrs.jar, en / usr / var.

• Busque también un archivo ‘autostart’ en ~ / .config / autostart probablemente llamado mediamgrs.desktop.

¿Cómo protegerse contra CrossRAT Trojan?

Solo 2 de los 58 productos antivirus detectan CrossRAT en el momento de la redacción, lo que significa que su AV apenas lo protegerá de esta amenaza.

“Como CrossRAT está escrito en Java, requiere la instalación de Java.

Afortunadamente, las versiones recientes de macOS no incluyen Java”, dijo Patrick.

“Por lo tanto, la mayoría de los usuarios de macOS deberían estar seguros. Por supuesto, si un usuario de Mac ya tiene Java instalado, o si el atacante es capaz de obligar a un usuario ingenuo a instalar primero Java, CrossRAT funcionará perfectamente, incluso en la última versión de macOS (High Sierra)”.

Se recomienda a los usuarios instalar software de detección de amenazas basado en el comportamiento. Los usuarios de Mac pueden usar  BlockBlock, una sencilla herramienta desarrollada por Patrick que alerta a los usuarios cada vez que algo se instala persistentemente.

 

Fuente: The Hacker News.

author image

About Reinaldo Alberto Valdiviezo Rojas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

También podría gustarte...

Codiciosos piratas informáticos norcoreanos que atacan las criptomonedas y los terminales de punto de venta
Apple permitirá que los usuarios desactiven la desaceleración intencional de la batería, dice el CEO Tim Cook
Las IA’s no paran! Detectan más de 6000 nuevos cráteres en la Luna usando Inteligencia Artificial
Primeros t
Los hologramas con volumen tipo Star Wars ya son una realidad
Disney desarrolla un increíble robot volador que puede hacer poses de superhéroe