De acordo com informações recentes, criminosos estão usando o malware CrossRAT para roubar informações dos usuários de sistemas com Windows, macOS, Solaris e Linux.
Malware CrossRATO malware, que supostamente foi desenvolvido pelo grupo Dark Caracal, é um trojan multi-plataforma que permite que criminosos manipulem o sistema de arquivos, capture imagens, executem arquivos maliciosos e mais nos sistemas infectados.
De acordo com pesquisadores de segurança, o grupo Dark Caracal não precisa de “exploits 0-day” para distribuir o malware CrossRAT. Ao invés disso, eles fazem uso de engenharia social com posts publicados em grupos no Facebook e mensagens no WhatsApp para enganar os usuários e assim fazer com que eles visitem sites falsos e baixem os arquivos com o malware.
O malware é escrito em Java, o que facilita sua análise por engenheiros de software e pesquisadores de segurança.
Um detalhe é que no momento da publicação deste post, apenas seis soluções de segurança foram capazes de detectar o malware (confira a lista completa no serviço VirusTotal):
Ao ser executado no sistema alvo, o malware CrossRAT primeiro verifica em qual sistema operacional ele está sendo executado antes de instalar o restante de seus componentes.
Depois que os componentes são instalados ele coleta informações como versão do sistema operacional, arquitetura e build do kernel.
No caso dos sistemas com Linux, o malware também tenta consultar arquivos systemd para determinar qual a distribuição instalada (como Fedora, Mint e etc.).
O malware estão implementa mecanismos de persistência específicos para cada sistema operacional visando garantir que ele seja executado sempre que o computador é reinicializado e se conecta a um servidor de comando e controle, permitindo que os criminosos executem comandos e roubem informações do computador infectado.
A versão do malware distribuída pelo grupo Dark Caracal se conecta ao domínio “flexberry(ponto)com” através da porta 2223.
Como saber se seu sistema com Windows foi infectado?
Usuários do Windows devem verificar a seguinte chave de registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Se o computador estiver infectado, você verá um comando que inclui java, -jar e mediamgrs.jar.
0 comentários:
Enviar um comentário