حمله CrossRAT به سیستمهای لینوکس، ویندوز و مک
هشدار!
اخیراً گروهی از مجرمین سایبری با استفاده از یک جاسوسافزار غیرقابل شناسایی، تمام سیستمهای ویندوز، لینوکس، سولاریس و مک را هدف حملات خود قرار دادهاند.
اخیراً گروهی از مجرمین سایبری با استفاده از یک جاسوسافزار غیرقابل شناسایی، تمام سیستمهای ویندوز، لینوکس، سولاریس و مک را هدف حملات خود قرار دادهاند.
به گزارش پایگاه خبری بانکداری الکترونیک، تروجان CrossRAT که ظاهراً از سوی گروه هکری Dark Caracal توسعه داده شده، به مهاجم اجازه میدهد بهراحتی از راه دور فایلهای سیستمی را دستکاری کرده، اسکرین شات گرفته و در سیستمهای آلوده ماندگار شود.
به گفته محققان، هکرهای Dark Caracal برای توزیع این تروجان به جای بهکارگیری اکسپلویت های روز صفرم ، با مهندسی اجتماعی از طریق پستهای گروههای فیسبوک و نیز پیامهای برنامه واتس اپ استفاده میکنند. آنها از این طریق کاربران را تشویق به بازدید وبسایتهای جعلی تحت کنترل مهاجم و در نتیجه آن دانلود اپلیکیشن های مخرب میکنند.
گفتنی است تروجان CrossRAT با زبان جاوا نوشتهشده و مهندسی معکوس آن توسط محققان کار بسیار راحتی است. این تروجان با قابلیتهای نظارتی خود میتواند با دریافت دستورات مرتبط از سرور کنترل فرمان خود آنها را اجرا کند. بهعلاوه با استفاده از کتابخانه منبع باز jnativehook نیز میتواند حرکات موس و کلیدهای فشردهشده کیبورد را ثبت کند.
بررسی سیستم و تشخیص آلودگی
ویندوز
-بررسی کلید رجیستری HKCUSoftwareMicrosoftWindowsCurrentVersionRun
-در صورت آلودگی حاوی دستوری شامل java, -jar , mediamgrs.jar خواهد بود.
مک
-بررسی فایل jar, mediamgrs.jar در Library/~
-بررسی اجرای عاملی با نام mediamgrs.plist در Library/LaunchAgents/ یا Library/LaunchAgents/~
لینوکس
-بررسی فایل jar, mediamgrs.jar در usr/var/
-بررسی فایل اتو استارت mediamgrs.desktop در config/autostart./ ~
باید توجه داشت که تا زمان انتشار این خبر تنها ۲ مورد از ۵۸ آنتیویروس (بنا به VirusTotal) موفق به شناسایی آن شدند که این امر نشان میدهد آنتیویروسها بهسختی قادر به شناسایی آن خواهند بود. بااینحال استفاده از نرمافزارهای شناسایی تهدید، مبتنی بر رفتار توصیه میشود. همچنین کاربران مک نیز میتوانند از ابزار BlockBlock استفاده کنند. این ابزار به کاربران در مقابل نصب پایدار هر برنامهای روی سیستم هشدار خواهد داد.
لازم به ذکر است Patrick Wardle هکر سابق NSA نیز در گزارشی، تحلیلی کامل از مکانیزم این تروجان، ارتباطات کنترل فرمان و قابلیتهای آن منتشر کرده است که میتوانید آن را از اینجا دریافت کنید.