Les logiciels malveillants CrossFIT ciblant les keyloggers ciblent les ordinateurs Linux, macOS et W

Un autre jour, un autre malware - Cette fois, c'est un malware CrossRAT qui cible les périphériques Linux, macOS et Windows sans être détecté par un logiciel anti-virus. Il y a près d'une semaine, les chercheurs en sécurité informatique d'OutLook et le groupe de défense des droits civiques Electronic Frontier Foundation ont dévoilé une campagne de cyberespionnage très sophistiquée menée par des pirates du Dark Caracal au Liban. dans 21 pays.

Dans leurs conclusions, les chercheurs ont également souligné la présence d'un autre logiciel malveillant dangereux appelé CrossRAT écrit en langage de programmation Java qui, selon eux, a été développé par Dark Caracal pour cibler les appareils OSX, Linux et Windows. Le logiciel malveillant est capable d'échapper aux logiciels anti-virus et de manipuler le système de fichiers d'un appareil ciblé, de prendre des captures d'écran, d'exécuter des DLL arbitraires pour une infection secondaire sur Windows et de gagner en persistance sur le système infecté. Cependant, Patrick Wardle, chercheur en sécurité, et ancien hacker de la NSA a publié un rapport détaillé sur CrossRAT selon lequel une fois infecté l'ordinateur, le malware effectue une analyse complète de la machine. Il peut identifier le noyau, la couche la plus basique qui intègre le système avec le matériel, et le type d'architecture. Le but est de faire l'installation spécifique du programme en fonction de chaque logiciel. CrossRAT est si sophistiqué qu'il peut fouiller dans Linux systemmd pour identifier la distribution du système, y compris Arch Linux, Centos, Debian, Linux Kali, Fedora, etc. En outre, CrossRAT a un keylogger intégré, un logiciel qui enregistre ce qui est tapé sur l'ordinateur et l'envoie au centre de contrôle de commande (C & C). Cependant, Wardle n'a pas trouvé un moyen d'activer ce dernier outil.

En outre, selon Wardle, les ordinateurs Windows et Linux sont plus sensibles à l'infection. C'est parce que, comme le malware est construit en Java, il est nécessaire pour l'utilisateur d'avoir ce logiciel sur l'ordinateur. Les deux systèmes d'exploitation apportent déjà une version pré-installée de Java, alors que dans macOS, il serait nécessaire de télécharger. Lorsque le chercheur a analysé l'exemple de fichier hmar6.jar qui installe CrossRAT sur VirusTotal, il s'est avéré que seulement 1 programme anti-virus sur 58 pouvait détecter le malware mais au moment de la publication de cet article, 28/58 programmes pouvaient détecter le fichier comme malveillant.

Maintenant que le malware a été détecté par la plupart des logiciels de sécurité sur VirusTotal, sa menace est passée à un niveau bas, mais les commandes suivantes peuvent également vous aider à identifier si votre système est infecté par CrossRAT: Les fenêtres: Vérifiez la clé de registre HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \. S'il est infecté, il contiendra une commande incluant java, -jar et mediamgrs.jar. Mac: Vérifiez le fichier jar, mediamgrs.jar, dans ~ / Library. Recherchez également l'agent de lancement dans / Library / LaunchAgents ou ~ / Library / LaunchAgents nommé mediamgrs.plist. Linux: Recherchez le fichier jar, mediamgrs.jar, dans / usr / var. Recherchez également un fichier 'autostart' dans ~ / .config / autostart probablement appelé mediamgrs.desktop.