Vigila los mensajes sospechosos que te lleguen por WhatsApp o las publicaciones de dudosa procedencia en Facebook, porque están propagando un malware espía que afecta sin distinción a equipos Windows, Mac y Linux.
CrossRAT es un troyano multiplataforma de acceso remoto que puede infectar a sistemas operativos Windows, macOS y Linux. Este malware permite a los atacantes manipular sistemas de archivos, ejecutar código arbitrario hacer capturas de pantalla, unas capacidades de vigilancia que se activan únicamente cuando reciben los comandos necesarios del servidor C&C. Además, también recopila información del sistema operativo y del dispositivo infectado.
Los investigadores de seguridad creen que CrossRAT pertenece a Dark Caracal, una amenaza persistente avanzada (APT por sus siglas en inglés) recientemente descubierta que ha participado en campañas de espionaje a escala global. Para distribuir su malware, Dark Caracal emplea principalmente ataques phishing, mensajes falsos de WhatsApp o publicaciones en grupos de Facebook para que las víctimas instalen aplicaciones de Android maliciosas. Una vez dentro del smartphone, roban todo tipo de datos de los usuarios, entre ellos documentos, historial de navegación, registro de llamadas o fotos.
Con CrossRAT han ido un paso más allá del espionaje móvil para atacar también ordenadores y otros dispositivos. Una vez instalado, identifica el sistema operativo del equipo para implementar mecanismos de persistencia específicos y ejecutarse cada vez que se reinicia el terminal.
Al principio de ser identificado, uno de los principales peligros de este nuevo troyano para Windows, macOS y Linux consistía en que era muy difícil de detectar. Según los datos de VirusTotal, en un primer momento solo identificaban el malware dos de los 58 programas antivirus analizados.
CrossRAT está escrito en lenguaje de programación Java, lo que facilita la descompilación de ingenieros e investigadores inversos.
¿Cómo comprobar si está infectado con CrossRAT?
Debido a que CrossRAT persiste en una manera específica de sistema operativo, la detección del malware dependerá del sistema operativo que esté ejecutando.
Para Windows:
Compruebe la clave de registro ‘HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \’.
Si está infectado, contendrá un comando que incluye, java, -jar y mediamgrs.jar.
Para macOS:
Compruebe el archivo jar, mediamgrs.jar, en ~ / Biblioteca.
Busque también el agente de lanzamiento en / Library / LaunchAgents o ~ / Library / LaunchAgents llamado mediamgrs.plist.
Para Linux:
Verifique el archivo jar, mediamgrs.jar, en / usr / var.
Busque también un archivo ‘autostart’ en ~ / .config / autostart probablemente llamado mediamgrs.desktop.
Afortunadamente, después del informe con la descripción técnica de la amenaza elaborado por Patrick Wardle, ex hacker de la NSA, en este momento ya son capaces de detectarlo 23 soluciones de seguridad, entre ellas las más populares, como Avast, AVG, Bitdefender, Kaspersky, GData. Puedes ver si estás protegido con tu antivirus en este Enlace.
0 comentarios:
Publicar un comentario