你正在用Linux和MacOS系統嗎?如果你認為你的系統無法抵禦病毒,那你應該好好讀讀這篇文章。
大範圍的網路犯罪分子正在使用一種新型監視軟體,目標為Windows、MacOS、Solaris和Linux系統。
上週,我們公佈了一個關於EFF/Lookout報告的詳細文章,揭示了一個APT組織——Dark Caracal 正在謀劃參與一場全球移動間諜活動。
該組織成功入侵了全球大範圍的行動電話(而不是電腦),而且還極有可能開發了一種闊平臺惡意軟體——CrossRAT。
CrossRAT是一種跨平臺遠端訪問木馬,目標為目前最受歡迎的4款作業系統:Windows、Solaris、Linux和MacOS,允許攻擊者遠端造作檔案系統、截圖、執行任意可執行檔案,並持久停留在該受感染系統。
據調查,Dark Caracal的黑客並不依賴於任何一個0day漏洞來傳播其惡意軟體,與之相反,它通過Facebook和whatsapp上的推文和資訊來進行簡單的社工,引誘使用者訪問由黑客控制的虛假網站並下載惡意軟體。
CrossRAT軟體由Java程式語言編寫而成,因此逆向工程師很容易將之反編譯。
CrossRAT 0.1 ——跨平臺持續監測惡意軟體
CrossRAT一旦在目標系統上執行,植入檔案(hmar6.jar)會首先檢視該作業系統是否正在執行,若正在執行,就立刻自動安裝。
此外,CrossRAT植入物還會收集被感染系統的資訊,包括已安裝的OS版本、核心構建和架構。
針對Linux系統,該惡意軟體還會查詢systemd檔案,如Arch Linux, Centos, Debian, Kali Linux, Fedora, 和 Linux Mint,來決定其分配。
然後CrossRAT會執行OS特定永續性機制,並在受感染系統重啟時,自動執行。然後連線至C&C伺服器,允許黑客遠端傳送指令、竊取資料。
CrossRAT包含keylogger模組
該惡意軟體具有某種基本的監視功能,只有接收到來自C&C伺服器的提前定義好的指令時才能啟動。
此外,研究員還注意到CrossRAT還會使用“jnativehook”——一種開源Java library,可竊聽鍵盤和滑鼠活動,但不需要有任何預先設定的指令來啟用該功能。
如何檢測是否被CrossRAT 感染?
因為CrossRAT一直針對OS作業系統,所以你所執行的作業系統是檢測該惡意軟體的關鍵。
Windows:
- 檢查'HKCU\Software\Microsoft\Windows\CurrentVersion\Run\' 註冊碼
- 若已被感染,其會包含有一個指令,如java,-jar和mediamgr.jar
macOS:
- 檢查jar檔案, mediamgrs.jar, in ~/Library
- 查詢/Library/LaunchAgents or ~/Library/LaunchAgents中名為mediamgrs.plist的啟動代理
Linux:
- 在/usr/var中檢查jar檔案,mediamgrs.jar
- 在 ~/.config/autostart likely named mediamgrs.desktop中找到 'autostart' 檔案
如何避免感染CrossRAT木馬?
截至目前,在58款受歡迎的防毒軟體中,只有2款可以檢測到CrossRAT。那也就意味著你的防毒軟體很有可能無法保護你的電腦被CrossRAT所感染。
Pactrick稱:“因為CrossRAT由Java編寫而成,因此它要求該裝置裝有Java,幸運的 是最新幾個版本的MacOS都沒有裝Java”
建議使用者安裝一個基於行為檢測危險的軟體。Mac使用者可以使用BlockBlock,只要有東西在持續下載,便會警告使用者。
來源:thehackernews
本文由看雪翻譯小組 哆啦咪 編譯