Cẩn thận với phần mềm độc hại CrossRAT tấn công mục tiêu Windows, MacOS và Linux
Nếu bạn đang nghĩa rằng sử dụng hệ điều hành macOS hoặc Linux thì sẽ an toàn với virus và các phần mềm độc hại, hãy đọc bài viết sau đây và suy nghĩ lại.
Tội phạm mạng đang sử dụng một phần mềm gián điệp không thể phát hiện được, đang nhắm mục tiêu tấn công các hệ thống Windows, macOS, Solaris và Linux trên diện rộng.
Trong tuần trước, TheHackerNews đã công báo một bài báo chi tiết về báo cáo của EFF/Lookout cho biết nhóm tấn công APT mới có tên gọi là Dark Caranal đang tham gia vào các chiến dịch gián điệp di động toàn cầu.
Mặc dù bản báo cáo tiết lộ các hoạt động hack thành công trên diện rộng của hacker đới với điện thoại di động chứ không phải máy tính nhưng nó cũng làm sáng tỏ một loại phần mềm độc hại mới được gọi là CrossRAT (phiên bản 0.1) được cho là đang được phát triển bởi nhóm Dark Caranal.
CrossRAT là một Trojan truy cập từ nhiều nền tảng từ xa có thể tấn công mục tiêu đến 4 hệ điều hành phổ biến hiện nay là Windows, Solaris, Linux, và macOS, cho phép những kẻ tấn công có thể từ xa vận dụng hệ thống tập tin, chụp màn hình, chạy các tập tin thực thi tùy ý và chiếm quyền quản lý hệ thống bị lây nhiễm.
Theo các nhà nghiên cứu thì nhóm hacker Dark Caracal đã không dựa vào bất kỳ lỗ hổng zero-day nào để lây lan mã độc, thay vào đó, nhóm sử dụng social engineering qua các bài đăng trên nhóm Facebook và tin nhắn WhatsApp, khuyến khích người dùng truy cập trang web giả mạo của hacker quản lý và tải các phần mềm độc hại.
CrossRAT được viết bằng ngôn ngữ lập trình Java làm cho các kỹ sư có thể dễ dàng đảo ngược và dịch ngược chúng.
Cựu hacker NSA Patrick Wardle đã quyết định phân tích phần mềm độc hại này và công bố một cái nhìn toàn cảnh về kỹ thuật bao gồm cơ chế vận hành, cũng như khả năng của mã độc CrossRAT 0.1.
Một khi đã được khởi chạy trên hệ thống mục tiêu, mã độc sẽ trước tiên cấy ghép hmar6.jar để kiểm tra hệ điều hành mà nó đang khởi chạy và cài đặt chính nó sao cho phù hợp. Bên cạnh đó việc cấy ghép CrossRAT cũng thu thập thông tin về hệ thống máy tính mà nó đã lây nhiễm, bao gồm các thông tin phiên bản hệ điều hành đã cài đặt, cơ sở hạ tầng máy tính. Đối với hệ thống Linux, phần mềm độc hại sẽ cố gắng truy vấn các tập hệ thống để xác định phân phối của nó như Arch Linux, Centos, Debian, Kali Linux, Fedora và Linux Mint.
CrossRAT sau đó sẽ thực hiện các cơ chế duy trì hệ điều hành cụ thể để tự động thực hiện bất cứ khi nào hệ thống máy tính bị nhiễm độc được khởi động lại và tự đăng ký vào các máy chủ C&C cho phép kẻ tấn công gửi lệnh và dữ liệu từ xa.
Theo báo cáo của các nhà nghiên cứu Lookout, biến thể CrossRAT được phân phối bởi nhóm hacker Dark Caracal được kết nối với 'flexberry (dot) com' trên cổng 2223, thông tin được mã hóa cứng trong tệp 'crossrat / k.class'.
Phần mềm độc hại này đã được thiết kế với một số chức năng giám sát cơ bản, chỉ được kích hoạt khi nhận được các lệnh được xác định trước tương ứng từ máy chủ C & C.
Patrick nhận thấy CrossRAT cũng đã được lập trình để sử dụng jnativehook, một thư viện Java mã nguồn mở để theo dõi các sự kiện bàn phím và chuột, nhưng phần mềm độc hại không có bất kỳ lệnh nào được xác định trước để kích hoạt keylogger này.
Tuy nhiên, nhà nghiên cứu chưa thấy bất kỳ mã nào bên trong bản cấy ghép tham chiếu gói jnativehook, do đó vào thời điểm này dường như chức năng này chưa được tận dụng. Có thể là do đây chỉ mới là phiên bản 0.1 nên tính năng đó chưa được phát triển chăng.
Vậy phải làm sao để kiểm tra liệu bạn có bị nhiễm CrossRAT?
Vì hiện CrossRAT tồn tại theo đặc tính riêng của hệ điều hành, do đó việc phát hiện phần mềm độc hại cũng phụ thuộc vào hệ điều hành mà bạn đang khởi chạy.
Đối với Windows:
Kiểm tra khóa đăng ký 'HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \'.
Nếu lây nhiễm nó sẽ chứa một lệnh bao gồm, java, -jar và mediamgrs.jar.
Đối với macOS:
Kiểm tra tệp jar, mediamgrs.jar, trong ~ / Library.
Cũng tìm trong / Library / LaunchAgents hoặc ~ / Library / LaunchAgents tên là mediamgrs.plist.
Đối với Linux:
Kiểm tra tệp jar, mediamgrs.jar, trong / usr / var.
Cũng tìm file 'autostart' trong file cấu hình ~ / .config / autostart có khả năng là mediamgrs.desktop.
Xuân Dung
TIN CÙNG CHUYÊN MỤC
Đọc nhanh tài liệu Word với tính năng AI...
Google tung bản vá bảo mật khẩn cấp cho ...
Phần mềm độc hại Android mới NGate đánh ...
Thời đại AI lên ngôi, ảnh chụp không hẳn...
Trung tâm siêu dữ liệu đang được Google ...
Google cảnh báo về lỗ hổng bảo mật CVE-2...
- Thông báo nghỉ lễ Quốc Khánh 2024
- NTS trao 150 quà tặng cho các em học sinh vượt khó...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Thời đại AI lên ngôi, ảnh chụp không hẳn là bảo ch...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Thông báo nghỉ lễ Quốc Khánh 2024
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Google tung bản vá bảo mật khẩn cấp cho 4 lỗi bảo ...
- Phần mềm độc hại Android mới NGate đánh cắp dữ liệ...