CrossRAT ha sido diseñado con diferentes mecanismos de persistencia, específicos para cada sistema operativo, de tal modo que en cada reinicio del sistema el ordenador se mantenga infectado.

CrossRAT es un troyano de acceso remoto multiplataforma que puede apuntar a los cuatro sistemas operativos de escritorio populares, Windows, Solaris, Linux y macOS, permitiendo a los atacantes remotos manipular el sistema de archivos, tomar capturas de pantalla, ejecutar comandos de forma remota y ganar persistencia en los ordenadores infectados.

Según los investigadores de Lookout y la Electronic Frontier Foundation, los hackers no dependen de ningún "exploits de día cero" para distribuir su malware; en su lugar, utiliza ingeniería social básica a través de publicaciones en grupos de Facebook y mensajes de WhatsApp, alentando a los usuarios a visitar sitios web falsos controlados por hackers para descargar aplicaciones maliciosas.

CrossRAT está escrito en lenguaje de programación Java, lo que facilita la descompilación de ingenieros e investigadores inversos. Por el momento muy pocos antivirus son capaces de detectar la amenaza.

¿Cómo comprobar si está infectado con CrossRAT?

• En Windows:

Compruebe la clave de registro 'HKCU\Software\Microsoft\Windows\CurrentVersion\Run'.
Si está infectado, contendrá un comando que incluye, java, -jar y mediamgrs.jar

• En macOS:

Compruebe el archivo jar, mediamgrs.jar, en ~ /Library.
Busque también el agente de lanzamiento en /Library/LaunchAgents o ~ /Library/LaunchAgents llamado mediamgrs.plist.

• En Linux:

Verifique si está presente el archivo jar, mediamgrs.jar, en /usr/var.
Busque también un archivo 'autostart' en ~ /.config/autostart probablemente llamado mediamgrs.desktop.

Enlace a la noticia