r   e   k   l   a   m   a
r   e   k   l   a   m   a

Szpiegowski trojan infekuje komputery z Windowsem, Linuksem i macOS-em

Strona główna AktualnościBEZPIECZEŃSTWO

Tworzenie multiplatformowego złośliwego oprogramowania nie jest łatwe – w końcu zazwyczaj wykorzystuje ono specyficzne dla danego systemu luki, więc im większa uniwersalność, tym mniejsza skuteczność. Tymczasem okazuje się, że Dark Caracal, cyberprzestępcza grupa, stojąca za realizowanymi na globalną skalę operacjami szpiegowskimi, stworzyła sprawne narzędzie zdalnego dostępu, które działa nie tylko na Windowsie, ale też macOS-ie, Linuksie, a nawet Solarisie.

CrossRAT, bo pod taką nazwą zaprezentowali go badacze z Electronic Frontier Foundation i firmy Lookout, jest trojanem zawierającym klienta zdalnego dostępu (RAT), pozwalającego na robienie zrzutów ekranów, uruchamianie własnego kodu, manipulowanie systemem plików, a nawet ukrycie się na stałe w zainfekowanym systemie.

Jak to możliwe, by takie narzędzie działało na czterech różnych systemach? No cóż, podziękujmy Javie – to dzięki niej CrossRAT jest tak uniwersalny. Dzięki staraniom Patricka Wardle’a, byłego hakera NSA, wiemy jednak że nie cały kod jest niezależny od systemu. Zdekompilował on trojana, rozprowadzanego jako plik hmar6.jar i znalazł elementy działające tylko w konkretnym środowisku, uruchamiane po jego wykryciu.

r   e   k   l   a   m   a

Szkodnik po uruchomieniu nie tylko sprawdza wersję systemu, kernela i architektury, ale też w wypadku Linuksa dostępną wersję systemd, by na tej podstawie odkryć, z którą dystrybucją ma do czynienia.Tylko w taki sposób można ukryć w atakowanym systemie szkodnika na stałe.

Mimo tej wieloaspektowości działania trojana, programy antywirusowe kiepsko sobie radzą z jego wykrywaniem. W momencie pierwszego przetestowania hmar6.jar w serwisie VirusTotal, wykryły go tylko dwa silniki, Microsoftu i Trend Micro – i to mimo tego, że to dopiero wersja 0.1 szkodnika.

W tej wczesnej wersji Wardle znalazł też mechanizmy, które nie są jeszcze wykorzystywane. W przyszłości CrossRAT może stać się też keyloggerem: wykorzystując już w nim obecną bibliotekę jnativehook będzie nasłuchiwał wydarzeń klawiatury i myszy.

Uważni Czytelnicy pewnie jednak drapią się po głowie – jak dochodzi do infekcji tym multiplatformowym szkodnikiem, skoro uruchamianie aplikacji Javy nie jest czymś oczywistym dla użytkowników? Według badaczy, Dark Caracal sprawnie radzi sobie ze społeczną inżynierią, nie potrzebuje żadnych exploitów 0-day. Namawia po prostu ofiary poprzez grupy na Facebooku czy wiadomości rozsyłane przez WhatsApp do instalacji ich oprogramowania z kontrolowanych przez nich stron internetowych. Podobno bardzo skutecznie.

Jak się zabezpieczyć przed CrossRatem?

Wygląda na to, że nie można specjalnie liczyć na oprogramowanie antywirusowe. Należy więc samodzielnie sprawdzić, czy czasem w systemie nie pojawiły się jego wpisy w mechanizmach zarządzania rozruchem:

  • Windows: zainfekowane systemy mogą mieć w kluczu Rejestru HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ wpisy zawierające takie frazy jak java, -jar czy mediamgrs.jar.
  • Linux: w katalogu /usr/var może pojawić się plik mediamgrs.jar, w pliku ~/.config/autostart możemy też znaleźć plik nazywający się mediamgrs.desktop.
  • macOS: tu mediamgrs.jar może być przechowywany w ~/Library, mogą też pojawić się agenty uruchomienia (mediamgrs.plist) w /Library/LaunchAgents lub ~/Library/LaunchAgents. Oczywiście macOS jest stosunkowo odporny, od lat system ten nie zawiera już domyślnie Javy, więc jeśli nigdy nie instalowaliście jej środowiska uruchomieniowego, to i CrossRAT się nie uruchomi. Patrick Wardle proponuje też swoje narzędzie BlockBlock, które ostrzega użytkownika, gdy coś wpisze się w proces rozruchowy macOS-a.
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.