CrossRAT, la nueva amenaza persistente multiplataforma

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

CrossRAT es un troyano de acceso remoto multiplataforma que puede apuntar a los cuatro sistemas operativos de escritorio como Windows, Solaris, Linux y macOS.

Este vector permite a los atacantes remotos manipular el sistema de archivos, tomar capturas de pantalla, ejecutar ejecutables arbitrarios y ganar persistencia en los sistemas infectados.

Hasta dónde sabemos, los hackers de Dark Caracal no dependen de ningún “exploit de día cero” para distribuir su malware; en su lugar, utilizan ingeniería social básica a través de publicaciones en grupos de Facebook y mensajes de WhatsApp, alentando a los usuarios a visitar sitios web falsos controlados por hackers y a descargar aplicaciones maliciosas.

CrossRAT está escrito en lenguaje de programación Java, lo que facilita la descompilación de ingenieros e investigadores que utilizan ingeniería inversa.

CrossRat como malware

Dado que en el momento de escribir este post solo dos de las 58 soluciones antivirus populares (según VirusTotal) pueden detectar CrossRAT, el exhacker de la NSA Patrick Wardle decidió analizar el malware y proporcionar una descripción técnica integral que incluye su mecanismo de persistencia, comando y comunicación de control así como como sus capacidades.

CrossRAT 0.1 – Malware de vigilancia persistente multiplataforma

Una vez ejecutado en el sistema de destino, el implante (hmar6.jar) primero verifica el sistema operativo en el que se está ejecutando y luego se instala en consecuencia.

Además de esto, el implante CrossRAT también intenta recopilar información sobre el sistema infectado, incluida la versión del SO instalada, la construcción del kernel y la arquitectura.

Además, para los sistemas Linux, el malware también intenta consultar los archivos del sistema para determinar su distribución, como Arch Linux, Centos, Debian, Kali Linux, Fedora y Linux Mint, entre muchos más.

CrossRAT luego implementa mecanismos de persistencia específicos del SO para automáticamente (re)ejecutarse cada vez que se reinicia el sistema infectado y registrarse en el servidor de C & C, permitiendo a los atacantes remotos enviar comandos y exfiltrar datos.

 

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris