新的无法检测的恶意软件CrossRAT针对Windows,Linu
现在,一种新的恶意软件针对您的PC,CrossRAT就是这个名字。这种无法察觉的间谍恶意软件被认为是由Dark Caracal集团开发的。CrossRAT可以被描述为针对OSX,Windos和Linux的恶意桌面监控工具。这个跨平台的恶意软件用Java编写,可以截取屏幕截图,操纵整个文件系统,并在Windos上运行随机DLL进行二次感染。
CrossRAT恶意软件
根据研究人员的说法,该木马的开发人员正在使用WhatsApp消息和Facebook群组消息来传播它,并将用户重定向到恶意网站并下载恶意程序。
,CrossRAT没有任何预定义的命令来激活键盘记录器,但它使用开源Java库'jnativehook'来检查鼠标和键盘的情况。
CrossRAT是一种桌面监视恶意软件,其设计具有一些基本的监视功能,这些功能在从C&C服务器获取预定义指令后被激活。它检查您的PC的操作系统,然后进行相应的安装。接下来,它汇总了有关受感染系统的详细信息以及内核结构。
然后,特洛伊木马会根据特定的操作系统使用这些机制,并在每次重新启动受感染的系统时重新执行。它进一步在C&C服务器上注册,从而提供对远程攻击者的访问。
“正如Lookout研究人员所报告的那样,由Darkish Caracal黑客组织分发的CrossRAT变种连接到端口2223上的'flexberry(dot)',其数据在'crossrat / ok.class'文件中被硬编码”。
检查您的PC是否感染了CrossRAT
由于它是Java编写的木马,它需要Java才能登陆PC。幸运的是,最新版本的Mac OS没有安装Java,大多数mac用户必须安全地使用CrossRAT。
,如果用户已安装Java或攻击者成功使用户狡猾地安装Java,则CrossRAT甚至可以运行并感染最新版本的macOS。
由于它是一种跨平台的木马,每种操作系统的检测方法显然会有所不同。
对于Home Windos用户
测试'HKCUSoftareMicrosoftWindosCurrentVersionRun'注册表项。如果被CrossRAT感染,它将包含一个包含java,-jar和mediamgrs.jar的命令
对于Mac OS
在/ Library / LaunchAgents或〜/ Library / LaunchAgents中搜索启动代理程序mediamgrs.plist。
(或)在〜/ Library中测试jar文件mediamgrs.jar。
对于Linux
在〜/ .config / autostart中搜索可能名为mediamgrs.desk的“自动启动文件”
(OR)在/ usr / var中测试jar文件mediamgrs.jar。
在撰写本文时,58种防病毒软件中只有2种可以检测到CrossRAT,这意味着您面临风险,您的防病毒软件几乎无法检测到它并将您从此特洛伊木马中拯救出来。
查看由前NSA黑客Patrick Wardle完成的CrossRAT 的详细技术概述和分析,其中包括其功能,机制,命令和控制。