Cảnh báo mã độc CrossRAT đang tấn công Windows, MacOS và Linux

Tin tặc không gian mạng đang phát tán rộng rãi một mẫu mã độc gián điệp đa nền tảng nhắm đến hệ điều hành Windows, macOS, Solaris và Linux.

Mã độc CrossRat là một mã độc đa nền tảng tấn công vào những hệ điều hành phổ biến nhất hiện tại như Windows, Solaris, Linux và macOS, cho phép tin tặc thay đổi tệp tin hệ thống, chụp màn hình, thực thi lệnh tùy ý và liên tục duy trì trên hệ thống bị nhiễm.

Theo các nhà nghiên cứu, tin tặc không lợi dụng lỗ hổng zero-day để phát tán mã độc; thay vào đó, chúng dùng những phương pháp thông thường nhất, tấn công “social engineering” thông qua bài đăng trên hội nhóm Facebook và tin nhắn WhatsApp, lôi kéo người dùng truy cập vào trang web giả mạo và tải về phần mềm chứa mã độc.

CrossRAT được viết bằng ngôn ngữ lập trình Java khiến các nhà nghiên cứu có thể dễ dàng dịch ngược.

Tại thời điểm bài viết, chỉ có 2 trong số 58 giải pháp diệt virus (theo VirusTotal) có thể phát hiện CrossRAT. Chi tiết kĩ thuật được hacker Patrick Wardle, cựu nhân viên NSA cung cấp, bao gồm cơ chế duy trì liên tục, kết nối tới máy chủ kiểm soát cũng như các tính năng của mã độc.

Các kiểm tra máy tính có bị lây nhiễm CrossRAT hay không?

Trên Windows

• Kiểm tra khóa registry  ‘HKCUSoftwareMicrosoftWindowsCurrentVersionRun’
• Nếu máy tính bị lây nhiễm sẽ chứa một dòng lệnh bao gồm java, -jar hoặc mediamgrs.jar.

Trên macOS

• Kiểm tra tệp tin mediamgrs.jar trong thư mục ~/Library
• Ngoài ra kiểm tra mediamgrs.plist trong /Library/LaunchAgents hoặc ~/Library/LaunchAgents

Trên Linux

• Kiểm tra tệp tin mediamgrs.jar trong /usr/var
• Kiểm tra trong ~/.config/autostart tệp tin có tên tương tự  mediamgrs.desktop

Người dùng được khuyến cáo cài đặt và cập nhật liên tục các phần mềm diệt virus càng sớm càng tốt.

THN