اگر جزو کاربرانی هستید که از سیستم های اپل و یا لینوکس استفاده می کنید و فکر می کنید که احتمال آلوده شدن دستگاه شما به بدافزار کم است، به شما توصیه می کنیم که حتما این گزارش را بخوانید. به تازگی بدافزار جدیدی شناسایی شده که توسط نرم افزارهای امنیتی قابل شناسایی نبوده و دستگاه های macOS، سولاریس، لینوکس و ویندوز را آلوده می کند. این بدافزار CrossRAT نام داشته و توسط گروه نفوذی با نام Dark Caracal توسعه داده شده است.
این تروجان میتواند بر روی سیستم عاملهای مختلف نصب شده و عملیاتی مانند دستکاری فایلهای سیستمی، اجرای فایلهای مخرب، گرفتن اسکرینشات را انجام دهد و در سیستم قربانی به حالت پایدار و ماندگاری برسد. گفته میشود نفوذگران این گروه تنها به بهرهبرداری از آسیبپذیریهای روز-صفرم برای توزیع این بدافزار اکتفا نکرده و از روشهای مهندسی اجتماعی در پیامرسانهای فیسبوک و واتساپ نیز استفاده میکنند.در این روش قربانیان به وبسایتهای جعلی هدایت میشوند که از آنجا بار دادهی بدافزار بر روی سیستم آنها دانلود میشود.
تروجان CrossRAT به زبان جاوا نوشته شده و محققان امنیتی میتوانند آن را به راحتی مهندسی معکوس کرده و مورد بررسی قرار دهند. گفته میشود از ۵۸ نرمافزار آنتیویروس تاکنون فقط دو مورد قادر به شناسایی این تروجان بودهاند. این بدافزار که با زبان جاوا نوشته شده، پس از قرار گرفتن بر روی سیستم قربانی، نوع سیستم عامل را بررسی کرده و متناسب با آن نصب میشود.
بدافزار در ادامه راهکارهای ماندگاری بر روی سیستم قربانی را اجرا میکند تا پس از راهاندازی مجدد سیستم، بهطور خودکار نصب و اجرا شود. همچنین با سرور دستور و کنترل ارتباط برقرار میکند تا از مهاجم راه دور، دستورات مورد نظر را دریافت کند. در این بدافزار بهطور پایهای برخی از قابلیتهای نظارتی وجود دارد که با دریافت یک سری دستورات مشخص از سمت سرور دستور و کنترل اجرایی میشود.
به گزارش محققان امنیتی، تروجان CrossRAT از یک کتابخانهی جاوا با نام jnativehook برای شنود و ثبت رویدادهای صفحه کلید و ماوس استفاده میکند ولی هیچ دستور از پیش تعریفشدهای برای فعال کردن این قابلیت وجود ندارد. باتوجه به اینکه نصب این بدافزار در سیستم عاملهای مختلف متفاوت است، در سیستمهای مختلف باید به شیوههای متفاوتی آلوده شدن به ایت بدافزار را بررسی کرد.
در ویندوز کلید رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ را بررسی کنید. اگر این کلید آلوده شده باشد باید حاوی دستوری باشد که در آن کلماتی مانند java، -jar و mediamgrs.jar است. در سیستمهای macOS در مسیر ~/Library فایل mediamgrs.jar را بررسی کنید. در این سیستم در مسیر /Library/LaunchAgents or ~/Library/LaunchAgents اجرا شدن عامل mediamgrs.plist را نیز بررسی کنید. در ماشینهای لینوکسی در مسیر /usr/var فایلهای jar و mediamgrs.jar را بررسی کنید. همچنین در مسیر ~/.config/autostart به دنبال فایلهای اتواستارت با نامهایی مانند mediamgrs.desktop بگردید.
همانطور که گفتیم تاکنون فقط دو نرافزار آنتیویروس قادر به شناسایی این تروجان بودهاند. بهعبارت دیگر اگر نرمافزار امنیتی داشته باشید با احتمال خیلی کمی میتوانید آلوده شدن سیستم خود را متوجه شوید. به کاربران توصیه میشود نرمافزارهای امنیتی که مبتنی بر رفتار، بدافزارها و تهدیدها را شناسایی میکنند نصب کنند. کاربران مک میتوانند از ابزاری به نام BlockBlock استفاده کنند که به هنگام نصبِ یک برنامه به حالت پایدار، به آنها هشدار داده میشود.