web analytics

Crossrat malware valt Windows, Linux en Mac systemen aan

Print Friendly, PDF & Email

Je gebruikt Linux en je denkt dat je systeem immuun is voor virussen en je draait geen anti-virus. Lees dan maar eens verder.

Cybercriminelen hebben een nieuw type ‘niet-detecteerbare’ malware ontwikkeld die zowel Windows, macOS, Solaris en Linux systemen aanvalt.

Een hackersgroep die zich Dark Caracal noemt heeft een cross-platform malware ontworpen welke CrossRat gedoopt werd.

CrossRAT is een cross-platform remote access Trojan die vier populaire desktop operating systemen, Windows, Solaris, Linux, en macOS kan aanvallen die de remote aanvallers toelaten het bestandssysteem te bewerken, screenshots te nemen, willekeurige uitvoerbare applicaties te runnen en zich leuk wegmoffelt in het besmette systeem.

Dark Caracal hackers maken geen gebruik van zogenaamde “zero-day exploits” om hun malware te verspreiden, maar gebruiken elementaire social engineering technieken via berichten op Facebook groepen en WhatsApp berichten, om gebruikers aan te zetten om door hackers-gecontrolleerde nep websites te bezoeken en daar kwaadaardige software te downloaden.

CrossRAT is in de Java programmeer taal geschreven, wat het voor de anti-virus onderzoekers makkelijk maakt om het te decompileren.

CrossRAT 0.1 — Cross-Platform Persistent Surveillance Malware

Zodra de malware opgestart is op het besmette systeem, zal de implant (hmar6.jar) eerst nagaan welk OS er draait om van zichzelf dan de juiste versie te installeren.

Daarnaast zal de CrossRAT implant ook proberen om informatie over het besmette systeem zoals de geïnstalleerde OS versie, kernel build en architectuur te lezen.

Daarenboven zal de malware voor Linux systemen proberen om het type distro zoals Arch Linux, Centos, Debian, Kali Linux, Fedora, Linux Mint, en andere te lezen.

CrossRAT zal vervolgens OS specifieke mechanismes implementeren om automatisch te draaien telkens de besmette machine opgestart wordt en zal zichzelf bij de Command en Control server registreren waardoor de remote aanvallers commando’s kunnen doorsturen en gegevens binnenhalen van het besmette systeem.

Lookout onderzoekers melden dat de CrossRAT versie verdeeld door de Dark Caracal hacking groep verbinding legt met ‘flexberry(dot)com’ op poort 2223, (informatie is hardcoded in het ‘crossrat/k.class’ bestand).

Hoe kan je weten of je distro besmet bent met CrossRAT?

  • Check voor het jar bestand, mediamgrs.jar, in /usr/var.
  • Kijk ook voor een ‘autostart’ bestand in ~/.config/autostart wellicht mediamgrs.desktop genoemd.

Anti-Virus?

Op VirusTotal kan je nagaan of je anti-virus deze malware kan onderscheppen.

Het zal er voor Linux gebruikers niet veiliger op worden in de toekomst en het draaien van een anti-virus op Linux systemen dringt zich meer en meer op.

Geef een reactie

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers liken dit: