Cẩn thận với phần mềm độc hại CrossRAT tấn công mục tiêu Windows, MacOS và Linux

www.tuoitre.vn -   25/01/2018 10:00:00 2932

Nếu bạn đang nghĩa rằng sử dụng hệ điều hành macOS hoặc Linux thì sẽ an toàn với virus và các phần mềm độc hại, hãy đọc bài viết sau đây và suy nghĩ lại.

Cẩn thận với phần mềm độc hại CrossRAT tấn công mục tiêu Windows, MacOS và Linux

Tội phạm mạng đang sử dụng một phần mềm gián điệp không thể phát hiện được, đang nhắm mục tiêu tấn công các hệ thống Windows, macOS, Solaris và Linux trên diện rộng.

Trong tuần trước, TheHackerNews đã công báo một bài báo chi tiết về báo cáo của EFF/Lookout cho biết nhóm tấn công APT mới có tên gọi là Dark Caranal đang tham gia vào các chiến dịch gián điệp di động toàn cầu.

Mặc dù bản báo cáo tiết lộ các hoạt động hack thành công trên diện rộng của hacker đới với điện thoại di động chứ không phải máy tính nhưng nó cũng làm sáng tỏ một loại phần mềm độc hại mới được gọi là CrossRAT (phiên bản 0.1) được cho là đang được phát triển bởi nhóm Dark Caranal.

CrossRAT là một Trojan truy cập từ nhiều nền tảng từ xa có thể tấn công mục tiêu đến 4 hệ điều hành phổ biến hiện nay là Windows, Solaris, Linux, và macOS, cho phép những kẻ tấn công có thể từ xa vận dụng hệ thống tập tin, chụp màn hình, chạy các tập tin thực thi tùy ý và chiếm quyền quản lý hệ thống bị lây nhiễm.

Theo các nhà nghiên cứu thì nhóm hacker Dark Caracal đã không dựa vào bất kỳ lỗ hổng zero-day nào để lây lan mã độc, thay vào đó, nhóm sử dụng social engineering qua các bài đăng trên nhóm Facebook và tin nhắn WhatsApp, khuyến khích người dùng truy cập trang web giả mạo của hacker quản lý và tải các phần mềm độc hại.

CrossRAT được viết bằng ngôn ngữ lập trình Java làm cho các kỹ sư có thể dễ dàng đảo ngược và dịch ngược chúng.

Cựu hacker NSA Patrick Wardle đã quyết định phân tích phần mềm độc hại này và công bố một cái nhìn toàn cảnh về kỹ thuật bao gồm cơ chế vận hành, cũng như khả năng của mã độc CrossRAT 0.1.

Một khi đã được khởi chạy trên hệ thống mục tiêu, mã độc sẽ trước tiên cấy ghép hmar6.jar để kiểm tra hệ điều hành mà nó đang khởi chạy và cài đặt chính nó sao cho phù hợp. Bên cạnh đó việc cấy ghép CrossRAT cũng thu thập thông tin về hệ thống máy tính mà nó đã lây nhiễm, bao gồm các thông tin phiên bản hệ điều hành đã cài đặt, cơ sở hạ tầng máy tính. Đối với hệ thống Linux, phần mềm độc hại sẽ cố gắng truy vấn các tập hệ thống để xác định phân phối của nó như Arch Linux, Centos, Debian, Kali Linux, Fedora và Linux Mint.

CrossRAT sau đó sẽ thực hiện các cơ chế duy trì hệ điều hành cụ thể để tự động thực hiện bất cứ khi nào hệ thống máy tính bị nhiễm độc được khởi động lại và tự đăng ký vào các máy chủ C&C cho phép kẻ tấn công gửi lệnh và dữ liệu từ xa.

Cẩn thận với phần mềm độc hại CrossRAT tấn công mục tiêu Windows, MacOS và Linux

Theo báo cáo của các nhà nghiên cứu Lookout, biến thể CrossRAT được phân phối bởi nhóm hacker Dark Caracal được kết nối với 'flexberry (dot) com' trên cổng 2223, thông tin được mã hóa cứng trong tệp 'crossrat / k.class'.

Phần mềm độc hại này đã được thiết kế với một số chức năng giám sát cơ bản, chỉ được kích hoạt khi nhận được các lệnh được xác định trước tương ứng từ máy chủ C & C.

Patrick nhận thấy CrossRAT cũng đã được lập trình để sử dụng jnativehook, một thư viện Java mã nguồn mở để theo dõi các sự kiện bàn phím và chuột, nhưng phần mềm độc hại không có bất kỳ lệnh nào được xác định trước để kích hoạt keylogger này.

Tuy nhiên, nhà nghiên cứu chưa thấy bất kỳ mã nào bên trong bản cấy ghép tham chiếu gói jnativehook, do đó vào thời điểm này dường như chức năng này chưa được tận dụng. Có thể là do đây chỉ mới là phiên bản 0.1 nên tính năng đó chưa được phát triển chăng.

Cẩn thận với phần mềm độc hại CrossRAT tấn công mục tiêu Windows, MacOS và Linux

Vậy phải làm sao để kiểm tra liệu bạn có bị nhiễm CrossRAT?

Vì hiện CrossRAT tồn tại theo đặc tính riêng của hệ điều hành, do đó việc phát hiện phần mềm độc hại cũng phụ thuộc vào hệ điều hành mà bạn đang khởi chạy.

Đối với Windows:

Kiểm tra khóa đăng ký 'HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \'.

Nếu lây nhiễm nó sẽ chứa một lệnh bao gồm, java, -jar và mediamgrs.jar.

Đối với macOS:

Kiểm tra tệp jar, mediamgrs.jar, trong ~ / Library.

Cũng tìm trong / Library / LaunchAgents hoặc ~ / Library / LaunchAgents tên là mediamgrs.plist.

Đối với Linux:

Kiểm tra tệp jar, mediamgrs.jar, trong / usr / var.

Cũng tìm file 'autostart' trong file cấu hình ~ / .config / autostart có khả năng là mediamgrs.desktop.

Xuân Dung

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 142
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 116
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 115
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 101
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 105
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 69
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ