تروجان CrossRAT همه‌ی سیستم عامل‌ها را هدف قرار داده و به راحتی قابل شناسایی نیست

 

اگر جزو کاربرانی هستید که از سیستم های اپل و یا لینوکس استفاده می کنید و فکر می کنید که احتمال آلوده شدن دستگاه شما به بدافزار کم است، به شما توصیه می کنیم که حتما این گزارش را بخوانید. به تازگی بدافزار جدیدی شناسایی شده که توسط نرم افزارهای امنیتی قابل شناسایی نبوده و دستگاه های macOS، سولاریس، لینوکس و ویندوز را آلوده می کند. این بدافزار CrossRAT نام داشته و توسط گروه نفوذی با نام Dark Caracal توسعه داده شده است.


این تروجان می‌تواند بر روی سیستم عامل‌های مختلف نصب شده و عملیاتی مانند دست‌کاری فایل‌های سیستمی، اجرای فایل‌های مخرب، گرفتن اسکرین‌شات را انجام دهد و در سیستم قربانی به حالت پایدار و ماندگاری برسد. گفته می‌شود نفوذگران این گروه تنها به بهره‌برداری از آسیب‌پذیری‌های روز-صفرم برای توزیع این بدافزار اکتفا نکرده و از روش‌های مهندسی اجتماعی در پیام‌رسان‌های فیس‌بوک و واتس‌اپ نیز استفاده می‌کنند.در این روش قربانیان به وب‌سایت‌های جعلی هدایت می‌شوند که از آنجا بار داده‌ی بدافزار بر روی سیستم آن‌ها دانلود می‌شود.


تروجان CrossRAT به زبان جاوا نوشته شده و محققان امنیتی می‌توانند آن را به راحتی مهندسی معکوس کرده و مورد بررسی قرار دهند. گفته می‌شود از ۵۸ نرم‌افزار آنتی‌ویروس تاکنون فقط دو مورد قادر به شناسایی این تروجان بوده‌اند. این بدافزار که با زبان جاوا نوشته شده، پس از قرار گرفتن بر روی سیستم قربانی، نوع سیستم عامل را بررسی کرده و متناسب با آن نصب می‌شود. 


بدافزار در ادامه راه‌کارهای ماندگاری بر روی سیستم قربانی را اجرا می‌کند تا پس از راه‌اندازی مجدد سیستم، به‌طور خودکار نصب و اجرا شود. همچنین با سرور دستور و کنترل ارتباط برقرار می‌کند تا از مهاجم راه دور، دستورات مورد نظر را دریافت کند. در این بدافزار به‌طور پایه‌ای برخی از قابلیت‌های نظارتی وجود دارد که با دریافت یک سری دستورات مشخص از سمت سرور دستور و کنترل اجرایی می‌شود.


به گزارش محققان امنیتی، تروجان CrossRAT از یک کتابخانه‌ی جاوا با نام jnativehook برای شنود و ثبت رویدادهای صفحه کلید و ماوس استفاده می‌کند ولی هیچ دستور از پیش تعریف‌شده‌ای برای فعال کردن این قابلیت وجود ندارد. باتوجه به اینکه نصب این بدافزار در سیستم عامل‌های مختلف متفاوت است، در سیستم‌های مختلف باید به شیوه‌های متفاوتی آلوده شدن به ایت بدافزار را بررسی کرد. 


در ویندوز کلید رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ را بررسی کنید. اگر این کلید آلوده شده باشد باید حاوی دستوری باشد که در آن کلماتی مانند java، -jar و mediamgrs.jar است. در سیستم‌های macOS در مسیر ~/Library فایل mediamgrs.jar را بررسی کنید. در این سیستم در مسیر /Library/LaunchAgents or ~/Library/LaunchAgents اجرا شدن عامل mediamgrs.plist را نیز بررسی کنید. در ماشین‌های لینوکسی در مسیر /usr/var فایل‌های jar و mediamgrs.jar را بررسی کنید. همچنین در مسیر ~/.config/autostart به دنبال فایل‌های اتواستارت با نام‌هایی مانند mediamgrs.desktop بگردید.


همان‌طور که گفتیم تاکنون فقط دو نر‌افزار آنتی‌ویروس قادر به شناسایی این تروجان بوده‌اند. به‌عبارت دیگر اگر نرم‌افزار امنیتی داشته باشید با احتمال خیلی کمی می‌توانید آلوده شدن سیستم خود را متوجه شوید. به کاربران توصیه می‌شود نرم‌افزارهای امنیتی که مبتنی بر رفتار، بدافزارها و تهدیدها را شناسایی می‌کنند نصب کنند. کاربران مک می‌توانند از ابزاری به نام BlockBlock استفاده کنند که به هنگام نصبِ یک برنامه به حالت پایدار، به آن‌ها هشدار داده می‌شود.
 

منبع

پست‌های مشابه

Leave a Comment