CrossRAT, un troyano indetectable está infectando equipos con Windows, macOS y Linux

Troyano

Cuando hablamos de virus, troyanos o malware en general, casi siempre estamos hablando de malware para Windows, ya que es el más habitual, pero no es el único sistema operativo afectado por él. Aunque en menor cantidad (pero cada vez con más frecuencia) macOS y Linux también se ven afectados por este tipo de amenazas informáticas. Generalmente, cada malware está programado y diseñado para afectar a un sistema operativo concreto, sin embargo, últimamente está ganando mucho protagonismo el malware multiplataforma capaz de infectar por igual cualquier sistema operativo, como ocurre con el nuevo, e indetectable, CrossRAT.

CrossRAT es un nuevo troyano del tipo RAT (remote access trojan) diseñado para que, una vez infecta a una víctima, automáticamente empiece a robar sus datos personales, manipular el sistema, tomar capturas de pantalla, hacerse con contraseñas y datos bancarios e incluso permitir al pirata informático conectarse al equipo de forma remota.

Hasta ahora nada que no hagan otros malware similares. Sin embargo, tal como nos cuentan los compañeros de AdslZone, CrossRAT es un troyano multiplataforma, capaz de infectar Windows, Linux y macOS utilizando el mismo fichero. Y no solo eso, sino que es un troyano totalmente infectable que solo dos de los 58 antivirus que podemos encontrar en VirusTotal son capaces de detectarlo.

crossrat malware virustotal

Como podemos ver en la anterior captura de VirusTotal, solo dos antivirus han sido capaces de detectar esta amenaza, el de Microsoft (es decir, Windows Defender, que lo ha identificado correctamente, y TrendMicro gracias a su heurística que ha sido capaz de detectar algo sospechoso en el fichero. Ningún otro ha sido capaz de detectarlo (aunque poco a poco las empresas de seguridad están actualizando sus bases de datos para añadir esta nueva amenaza.
CrossRAT, un troyano muy persistente y difícil de eliminar

Este troyano puede infectar cualquier sistema operativo al estar escrito en Java, concretamente en una librería multiplataforma llamada jnativehook. Además, cuenta con un gran número de mecanismos bastante avanzados que han permitido no solo evadir a los antivirus, sino también instalarse de forma persistente en el sistema de manera que, aunque se elimine el fichero principal, la amenaza siga estando.

Para saber si nuestro sistema Windows está infectado, simplemente debemos comprobar si en la ruta del registro “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\’” hay una entrada llamada “java,-jar o mediamgrs.jar”. En macOS deberíamos encontrar un archivo JAR en el directorio ~/Library y, por último, en Linux, un archivo similar en la ruta /usr/var.

En caso de estar infectados, lo mejor es reiniciar nuestro ordenador en modo seguro y pasar un antivirus actualizado (Windows Defender, por ejemplo, al ser el primero en detectar la amenaza) para, posteriormente, ir a la ruta mencionada anteriormente y eliminar los ficheros Java que hacen de este malware persistente.

Ver información original al respecto en Fuente: