رد پای گروه هکری کراکال در انتشار بدافزاری جدید

اخیراً کارشناسان بدافزاری خطرناک به نام «CrossRAT» را شناسایی کرده اند و اظهار کردند که این بدافزار نیز متعلق به گروه هکری دارک کراکال است. بدافزار مذکور با زبان برنامه نویسی جاوا (Java programming language) طراحی شده است و سیستم عامل هایی مانند لینوکس، مک و ویندوز را تحت الشعاع قرار می دهد.

این بدافزار به شکل ماهرانه ای می تواند برنامه های آنتی ویروس را دور بزند و ضمناً فایل ها و اطلاعات موجود روی سیستم قربانی را دست کاری یا تخریب نماید. از این رو می تواند از صفحه دسکتاپ یا هر چیز دیگری که کاربر می بیند عکس (screenshots) بگیرد. همچنین میتواند برخی فایل های «DLL» سیستم عامل را برای نفوذ وسیع تر اجرا کند.

محقق امنیت سایبر و یک از هکرهای ساق آژانس امنیت ملی آمریکا «Patrick Wardle» اظهار کرد که بدافزار «CrossRAT» پس از آلوده شدن سیستم به طور کامل و بسیار دقیق کل سیستم کاربر را اسکن و اطلاعاتی چون نوع سیستم و ساختار سخت افزاری قربانی را سرقت می کند.

وقتی محققان با دقت بیشتری سیستم ها را بررسی کردند فایل این بدافزار که با نام « hmar6.jar » بوده است، پیدا کردند. گفتنی است در میان ۵۸ آنتی ویروس مختلف فقط یکی از آنها توانست بدافزار مذکور را کشف کند.

پس از تحقیقات گسترده کارشناسان مسیری که این بدافزار در سیستم عامل های مختلف مخفی می شود را شناسایی و اعلام کرده اند، که این مسیر ها به شرح زیر است:

ویندوز (Windows):

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ registry key
اگر در این مسیر یافت نشد می توان از طریق cmd کلمات « java،  -jar و  mediamgrs.jar» را جستجو کرد.

مک (Mac):

 in /Library/LaunchAgents
یا
  ~/Library/LaunchAgents named mediamgrs.plist
اگر در این مسیرها یافت نشد می توان « mediamgrs.jar و  in ~/Library» را جستجو کرد.

لینوکس (Linux):

~/.config/autostart likely named mediamgrs.desktop
اگر در این مسیر یافت نشد می توان کلمات « mediamgrs.jar و  in /usr/var» را جستجو کرد.

منبع : سایبربان