CrossRAT, un troyano indetectable está infectando equipos con Windows, macOS y Linux

Cuando hablamos de virus, troyanos o malware en general, casi siempre estamos hablando de malware para Windows, ya que es el más habitual, pero no es el único sistema operativo afectado por él. Aunque en menor cantidad (pero cada vez con más frecuencia) macOS y Linux también se ven afectados por este tipo de amenazas informáticas. Generalmente, cada malware está programado y diseñado para afectar a un sistema operativo concreto, sin embargo, últimamente está ganando mucho protagonismo el malware multiplataforma capaz de infectar por igual cualquier sistema operativo, como ocurre con el nuevo, e indetectable, CrossRAT.

CrossRAT es un nuevo troyano del tipo RAT (remote access trojan) diseñado para que, una vez infecta a una víctima, automáticamente empiece a robar sus datos personales, manipular el sistema, tomar capturas de pantalla, hacerse con contraseñas y datos bancarios e incluso permitir al pirata informático conectarse al equipo de forma remota.

Hasta ahora nada que no hagan otros malware similares. Sin embargo, CrossRAT es un troyano multiplataforma, capaz de infectar Windows, Linux y macOS utilizando el mismo fichero. Y no solo eso, sino que es un troyano totalmente infectable que solo dos de los 58 antivirus que podemos encontrar en VirusTotal son capaces de detectarlo.

Como podemos ver en la anterior captura de VirusTotal, solo dos antivirus han sido capaces de detectar esta amenaza, el de Microsoft (es decir, Windows Defender, que lo ha identificado correctamente, y TrendMicro gracias a su heurística que ha sido capaz de detectar algo sospechoso en el fichero. Ningún otro ha sido capaz de detectarlo (aunque poco a poco las empresas de seguridad están actualizando sus bases de datos para añadir esta nueva amenaza.

CrossRAT, un troyano muy persistente y difícil de eliminar

Este troyano puede infectar cualquier sistema operativo al estar escrito en Java, concretamente en una librería multiplataforma llamada jnativehook. Además, cuenta con un gran número de mecanismos bastante avanzados que han permitido no solo evadir a los antivirus, sino también instalarse de forma persistente en el sistema de manera que, aunque se elimine el fichero principal, la amenaza siga estando.

Para saber si nuestro sistema Windows está infectado, simplemente debemos comprobar si en la ruta del registro “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\’” hay una entrada llamada “java,-jar o mediamgrs.jar”. En macOS deberíamos encontrar un archivo JAR en el directorio ~/Library y, por último, en Linux, un archivo similar en la ruta /usr/var.

En caso de estar infectados, lo mejor es reiniciar nuestro ordenador en modo seguro y pasar un antivirus actualizado (Windows Defender, por ejemplo, al ser el primero en detectar la amenaza) para, posteriormente, ir a la ruta mencionada anteriormente y eliminar los ficheros Java que hacen de este malware persistente.

Fuente | softzone.es

9 Replies to “CrossRAT, un troyano indetectable está infectando equipos con Windows, macOS y Linux”

  1. sedlav

    Aquí tienes al mayor troyano no necesitas otro:

    Windows es un viejo troyano del tipo RAT (remote access trojan) diseñado para que, una vez infecta a una víctima, automáticamente empiece a robar sus datos personales, manipular el sistema, tomar capturas de pantalla, hacerse con contraseñas y datos bancarios e incluso permitir al pirata informático (Microsoft) conectarse al equipo de forma remota.

    Responder
  2. AleWiccan

    Es logico que sea hecho por alguien de microsoft cuando es el unico que lo reconoce…
    Parece que usa una vulnavilidad de Java, cosa que no te debe preocupar si no tienes instalado la maquina virtual de Java… A no ser que seas programador o un fanático de Minecraft, jaja

    Responder
    • Cesar

      En realidad CrossRAT no utiliza ninguna vulnerabilidad de java (ni del sistema operativo), para distribuirlo utilizan ingeniería social, así que de momento no es tan peligroso siempre y cuando los usuarios se cuiden. Al parecer los mas expuestos son los usuarios de Windows, ya que para Linux requiere que se ejecute como superusuario para garantizar la persistencia en el sistema, cosa que es muy poco probable (el usuario de Linux tendría que explícitamente ejecutar el trollano como root), aunque es teóricamente posible garantizar su persistencia a nivel de usuario no utiliza ningún mecanismo que lo permita.

      Responder
    • whoami

      AleWiccan te dire que los Write Wrom u los Write Exploit’s no van a desarrollar un virus solamente para maquinas de programadores y jugadores de minecraft , en 1era no les conviene ya que los programadores al desarrollar proyectos saben y se estudian el lenguaje de java y asi saben casi todo lo que circula x ese lenguaje y en 2da xq los jugadores de minecraft solo ejecutan o un server o el ejecutable de minecrat que en este caso es un launcher que solo lanza los archivos necesarios , este virus si puede que este programado en java pero debe tener un encoder para que tambien se ejecute como .exe en windows , en mac como .macho y en linux como .elf o run es algo facil solo entra a las rutas y si estas infectado reinstala y ya sino estas infectado deberias averiguar como se propaga este troyano si es un worm o un simple troyano con encoder para que sea detectado por antivirus!!!-Por lo que he visto este troyano se propaga por SoccialEngenery y es algo facil de detectar en linux y muy poco probable que te infecte si estas en linux ya que deberias ejecutarlo con el comando sudo o loogearte como root…

      Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *