你正在用Linux和MacOS系统吗？如果你认为你的系统无法抵御病毒，那你应该好好读读这篇文章。

大范围的网络犯罪分子正在使用一种新型监视软件，目标为Windows、MacOS、Solaris和Linux系统。

上周，我们公布了一个关于EFF/Lookout报告的详细文章，揭示了一个APT组织——Dark Caracal 正在谋划参与一场全球移动间谍活动。

该组织成功入侵了全球大范围的移动电话（而不是电脑），而且还极有可能开发了一种阔平台恶意软件——CrossRAT。

CrossRAT是一种跨平台远程访问木马，目标为目前最受欢迎的4款操作系统：Windows、Solaris、Linux和MacOS，允许攻击者远程造作文件系统、截图、执行任意可执行文件，并持久停留在该受感染系统。

据调查，Dark Caracal的黑客并不依赖于任何一个0day漏洞来传播其恶意软件，与之相反，它通过Facebook和whatsapp上的推文和信息来进行简单的社工，引诱用户访问由黑客控制的虚假网站并下载恶意软件。

CrossRAT软件由Java编程语言编写而成，因此逆向工程师很容易将之反编译。

CrossRAT 0.1 ——跨平台持续监测恶意软件

CrossRAT一旦在目标系统上执行，植入文件（hmar6.jar）会首先查看该操作系统是否正在运行，若正在执行，就立刻自动安装。

此外，CrossRAT植入物还会收集被感染系统的信息，包括已安装的OS版本、内核构建和架构。

针对Linux系统，该恶意软件还会查询systemd文件，如Arch Linux, Centos, Debian, Kali Linux, Fedora, 和 Linux Mint，来决定其分配。

然后CrossRAT会执行OS特定持久性机制，并在受感染系统重启时，自动执行。然后连接至C&C服务器，允许黑客远程发送指令、窃取数据。

CrossRAT包含keylogger模块

该恶意软件具有某种基本的监视功能，只有接收到来自C&C服务器的提前定义好的指令时才能启动。

此外，研究员还注意到CrossRAT还会使用“jnativehook”——一种开源Java library，可窃听键盘和鼠标活动，但不需要有任何预先设定的指令来激活该功能。

如何检测是否被CrossRAT 感染？

因为CrossRAT一直针对OS操作系统，所以你所运行的操作系统是检测该恶意软件的关键。

Windows：

• 检查'HKCU\Software\Microsoft\Windows\CurrentVersion\Run\' 注册码
• 若已被感染，其会包含有一个指令，如java，-jar和mediamgr.jar

macOS：

• 检查jar文件， mediamgrs.jar, in ~/Library
• 查找/Library/LaunchAgents or ~/Library/LaunchAgents中名为mediamgrs.plist的启动代理

Linux：

• 在/usr/var中检查jar文件，mediamgrs.jar
• 在 ~/.config/autostart likely named mediamgrs.desktop中找到 'autostart' 文件

如何避免感染CrossRAT木马？

截至目前，在58款受欢迎的杀毒软件中，只有2款可以检测到CrossRAT。那也就意味着你的杀毒软件很有可能无法保护你的电脑被CrossRAT所感染。

Pactrick称：“因为CrossRAT由Java编写而成，因此它要求该设备装有Java，幸运的 是最新几个版本的MacOS都没有装Java”

建议用户安装一个基于行为检测危险的软件。Mac用户可以使用BlockBlock，只要有东西在持续下载，便会警告用户。

来源：thehackernews

本文由看雪翻译小组 哆啦咪 编译