CrossRAT, una APT multiplataforma

CrossRAT, una APT multiplataforma

Cada vez es más común la proliferación del malware multiplataforma, creado para dañar a las víctimas independientemente del sistema operativo utilizado. Aquí es importante llamar la atención de los usuarios de macOS y Linux, ya que tienen la tendencia de sobrestimar la seguridad ofrecida por los sistemas operativos que utilizan.

Lookout y la Electronic Frontier Foundation descubrieron la semana pasada la existencia de una nueva Amenaza Avanzada Persistente (APT) presuntamente patrocinada por un estado y llamado Dark Caracal, dedicada sobre todo al espionaje. Sus actividades se remontan al año 2012, ha actuado en 21 países y se ha centrado sobre todo en las plataformas móviles, quizá por la gran cantidad de dispositivos Android sin soporte que siguen en funcionamiento.

Sin embargo, parece que no solo contra dispositivos móviles actúa la APT Dark Caracal, ya que recientemente parece que ha desarrollado un troyano de acceso remoto (RAT en sus siglas en inglés) multiplataforma llamado CrossRAT. La versión conocida de este malware es la 0.1, por lo que podría estar en una fase temprana de su desarrollo, es indetectable y puede infectar a Windows, macOS, Linux y Solaris. Según Objective-See, entre las acciones maliciosas que puede llevar a cabo se encuentran la poder acceder de forma remota para manipular ficheros del sistema, tomar capturas de pantalla, poner en funcionamiento ejecutables arbitrarios y tener acceso persistente en el dispositivo infectado.

Los investigadores dicen que Dark Caracal no se apoya en ninguna vulnerabilidad Zero-Day para distribuir CrossRAT, sino que utiliza ingeniería social básica a través de grupos de Facebook y mensajes de WhatsApp, intentando hacer que las víctimas visiten sitios web falsos controlados por los hackers y haciendo que descarguen aplicaciones maliciosas. CrossRAT está construido con Java, por lo que es fácil decompilarlo y hacer una ingeniería inversa sobre él. Por otro lado, en estos instantes y según VirusTotal, solo 621 de los 59 antimalware más populares son capaces de detectarlo.

Cuando CrossRAT entra en ejecución, implanta un fichero llamado hmar6.jar para comprobar el sistema operativo utilizado y terminar el proceso de instalación correctamente. Luego intenta reunir información sobre el sistema infectado, incluyendo la versión, la arquitectura y la compilación del kernel. En sistemas Linux que usan systemd se dedica a consultar los ficheros del init para determinar la distribución. Si tenemos en cuenta que la mayoría de las distribuciones populares, incluidas Ubuntu, Fedora, openSUSE, RHEL 7, Arch Linux, Mageia y Manjaro, utilizan systemd, se puede decir que a nivel de escritorio puede impactar a más del 90% de las instalaciones en funcionamiento.

CrossRAT implementa mecanismos persistentes específicos para cada sistema operativo que se ejecutan una o más veces para provocar un reinicio y registrar el ordenador infectado al servidor de mando y control de Dark Caracal, permitiendo a los atacantes a partir de ahí enviar órdenes y extraer datos, cosas que muestran que el malware fue creado con propósito de vigilancia. Se conecta al dominio flexberry.com a través del puerto 2223.

No se trata, al menos aparente, de un malware complejo o revolucionario desde el punto de vista técnico, ya que para registrar las pulsaciones del teclado y los eventos del ratón utiliza jnativehook, una biblioteca Open Source. Sin embargo, sí sorprende que no tenga ninguna orden predefinida para activar el mencionado keylogger, por lo que la característica no puede ser activada, al menos fácilmente, desde el servidor de mando y control, algo que puede justificarse en que todavía se encuentra en una fase temprana de su desarrollo.

Cómo comprobar si el sistema está infectado por CrossRAT

En primer lugar, es importante tener en cuenta que tener la máquina virtual de Java instalada es imprescindible para poner en ejecución CrossRAT (CUIADO / here / password: infect3d). Estos son los pasos a seguir para comprobar si CrossRAT está instalado en cada uno de los sistemas mayoritarios. 

Windows:

  • Comprobar la clave de registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
  • En caso de estar infectado, tendría que aparecer una orden en la que se pueden ver las palabras java, -jar y mediamgrs.jar.

macOS:

  • Comprobar si el fichero mediamgrs.jar está en el directorio ~/Library, además de los subdirectorios /Library/LaunchAgents y ~/Library/LaunchAgents para comprobar la presencia del fichero mediamgrs.plist.

Linux:

  • Comprobar si el fichero mediamgrs.jar está en el directorio /usr/var, además del subdirectorio ~/.config/autostart para comprobar la presencia del fichero mediamgrs.desktop.

Fuente: The Hacker News

MaMi, spyware para macOS

MaMi, spyware para macOS

¿Crees que no hay malware para los dispositivos Apple? deja te cuento que se ha descubierto un malware para MacOS cuya característica principal es modificar los servidores DNS de la máquina infectada, y que incluye código con funcionalidades de espionaje.

Patrick Wardle, un experto en seguridad informática con un currículo que incluye a la NSA y la NASA, ha descubierto un spyware para macOS gracias al reporte de un usuario en el foro de Malwarebytes. Este usuario reportaba que su compañera de trabajo había instalado algo por accidente, y tras ello su configuración de servidores DNS permanecía fija apuntando a direcciones IP no deseadas.

El malware, bautizado como OSX/MaMi debido a una de los cadenas usadas en el código fuente, tiene dos funciones principales que destacan: el secuestro de la configuración de los servidores DNS para que apunten a servidores controlados por el atacante y la instalación de un certificado raíz. Lo primero permite (entre otras cosas claro) que cuando la víctima quiera visitar “google.com”, sea el atacante quien responda a qué servidor debe acudir la víctima para descargar esa página web (con lo cual puede responder que acuda a un servidor diseñado para robar información como se enseña en nuestros cursos).

En cuanto a la instalación de un certificado raíz, esto permite que páginas web modificadas por el atacante aparezcan como legítimas cuando se usa HTTPS. Estas dos técnicas suelen ser usadas para llevar a cabo lo que se llama “ataque Man-in-the-Middle” (Hombre en medio). Con este ataque, el atacante puede modificar las webs a las que accede el usuario o robar información que circule entre la web y el usuario.

A pesar de que un ataque Man-in-the-Middle puede ser usado para inyectar anuncios en las páginas web que se visitan, podemos afirmar con cierta seguridad que el objetivo principal es el espionaje. Básicamente, debido a que incluye funcionalidades como capturas de pantalla, descarga de archivos, keylooger, etc…

Si bien es cierto que también incluye otras como simulación de ratón, ejecución remota de comandos y similares, usadas en herramientas de control remoto. Pero estas funcionalidades suelen introducirse en muchos tipos de malware, simplemente para que el atacante pueda realizar acciones manualmente en el ordenador infectado, si lo desea.

En el análisis presentado por Patrick Wardle, se comenta que estas funcionalidades espía no parecen ser ejecutadas automáticamente en la infección. Esto puede ser porque el malware está programado para hacerlo pero por alguna razón no ocurriese, o porque realmente estas acciones están pensadas para ser usadas manualmente por el atacante. También se comenta en el análisis que no es detectado por ningún antivirus de los existentes en Virustotal, aunque a la hora de escribir este artículo ya es detectado por 28 de los 59 motores de detección presentes.

El vector de infección todavía es desconocido, y el autor del análisis apunta a que probablemente se usan métodos poco sofisticados como correos maliciosos, alertas falsas de seguridad en la web y otros métodos de ingeniería social enfocados a los usuarios de Mac. La forma de desinfectarse se resume a dos puntos, según el análisis: eliminar los servidores DNS que configuró el malware (82.163.143.135 y 82.163.142.137) y eliminar el certificado raíz de nombre “cloudguard.me”. Si bien es cierto que en el reporte original en Malwarebytes el usuario se quejaba de que volvían a aparecer estos DNS’s tras quitarlos (persistencia). Cuando un usuario ha sido infectado por un malware que permite descargar más malware y no se sabe qué se ha ejecutado realmente, lo ideal es reinstalar el sistema operativo.

Finalmente, respecto al origen de este malware, Patrick lo relaciona con DNSUnlocker, un malware de 2015 que cambiaba los servidores DNS para introducir publicidad en las webs que visitabas. Se basa en que MaMi usa dos servidores DNS en un rango de red muy cercano al que usaba DNSUnlocker, y que instala el mismo certificado raíz, “cloudguard.me”. Al ser éste último un malware para Windows, MaMi sería una versión para macOS de DNSUnlocker con funcionalidad específica para este sistema operativo.

Fuente: Hispasec

Próximamente curso de White Suit Hacking atacando a Apple

¿Te gustaría? haznos saber...