CrossRAT 木馬通殺 Windows、MacOS、Linux

你正在用Linux和MacOS系統嗎？如果你認為你的系統無法抵禦病毒，那你應該好好讀讀這篇文章。

大範圍的網路犯罪分子正在使用一種新型監視軟體，目標為Windows、MacOS、Solaris和Linux系統。

上週，我們公佈了一個關於EFF/Lookout報告的詳細文章，揭示了一個APT組織——Dark Caracal 正在謀劃參與一場全球移動間諜活動。

該組織成功入侵了全球大範圍的行動電話（而不是電腦），而且還極有可能開發了一種闊平臺惡意軟體——CrossRAT。

CrossRAT是一種跨平臺遠端訪問木馬，目標為目前最受歡迎的4款作業系統：Windows、Solaris、Linux和MacOS，允許攻擊者遠端造作檔案系統、截圖、執行任意可執行檔案，並持久停留在該受感染系統。

據調查，Dark Caracal的黑客並不依賴於任何一個0day漏洞來傳播其惡意軟體，與之相反，它通過Facebook和whatsapp上的推文和資訊來進行簡單的社工，引誘使用者訪問由黑客控制的虛假網站並下載惡意軟體。

CrossRAT軟體由Java程式語言編寫而成，因此逆向工程師很容易將之反編譯。

CrossRAT 0.1 ——跨平臺持續監測惡意軟體

CrossRAT一旦在目標系統上執行，植入檔案（hmar6.jar）會首先檢視該作業系統是否正在執行，若正在執行，就立刻自動安裝。

此外，CrossRAT植入物還會收集被感染系統的資訊，包括已安裝的OS版本、核心構建和架構。

針對Linux系統，該惡意軟體還會查詢systemd檔案，如Arch Linux, Centos, Debian, Kali Linux, Fedora, 和 Linux Mint，來決定其分配。

然後CrossRAT會執行OS特定永續性機制，並在受感染系統重啟時，自動執行。然後連線至C&C伺服器，允許黑客遠端傳送指令、竊取資料。

CrossRAT包含keylogger模組

該惡意軟體具有某種基本的監視功能，只有接收到來自C&C伺服器的提前定義好的指令時才能啟動。

此外，研究員還注意到CrossRAT還會使用“jnativehook”——一種開源Java library，可竊聽鍵盤和滑鼠活動，但不需要有任何預先設定的指令來啟用該功能。

如何檢測是否被CrossRAT 感染？

因為CrossRAT一直針對OS作業系統，所以你所執行的作業系統是檢測該惡意軟體的關鍵。

Windows：

• 檢查'HKCU\Software\Microsoft\Windows\CurrentVersion\Run\' 註冊碼
• 若已被感染，其會包含有一個指令，如java，-jar和mediamgr.jar

macOS：

• 檢查jar檔案， mediamgrs.jar, in ~/Library
• 查詢/Library/LaunchAgents or ~/Library/LaunchAgents中名為mediamgrs.plist的啟動代理

Linux：

• 在/usr/var中檢查jar檔案，mediamgrs.jar
• 在 ~/.config/autostart likely named mediamgrs.desktop中找到 'autostart' 檔案

如何避免感染CrossRAT木馬？

截至目前，在58款受歡迎的防毒軟體中，只有2款可以檢測到CrossRAT。那也就意味著你的防毒軟體很有可能無法保護你的電腦被CrossRAT所感染。

Pactrick稱：“因為CrossRAT由Java編寫而成，因此它要求該裝置裝有Java，幸運的 是最新幾個版本的MacOS都沒有裝Java”

建議使用者安裝一個基於行為檢測危險的軟體。Mac使用者可以使用BlockBlock，只要有東西在持續下載，便會警告使用者。

來源：thehackernews

本文由看雪翻譯小組 哆啦咪 編譯