CrossRAT 恶意软件:保护您的 Mac

与侵入性较小的恶意软件不同,CrossRAT 是由政府支持的暗网网络团伙支持的全球间谍活动的一部分。 感觉就像一部詹姆斯邦德电影,对吧?

当电子前沿基金会 (EFF) 和 Lookout Security 发布报告时,CrossRAT 曝光。 它发现了 CrossRAT 病毒是由一个名为 Dark Caracal 的组织创建或为该组织创建的证据。

根据一些报道,该组织的活动被认为与该国主要的外国情报机构黎巴嫩政府的安全总局(GDGS)有关。 尽管账户不同,这显然是一名流氓员工,还是 GDGS 正在或正在积极指挥 Dark Caracal 的活动。 其中一个 IP 地址将该组织追踪到位于黎巴嫩贝鲁特的 GDGS 办公室附近的一栋建筑物。 目前尚不清楚 Dark Caracal 是否代表其他敌对国家采取行动,或者这种全球间谍网络攻击是否是其他形式的敌对网络活动的掩护。

什么是 CrossRAT?

尽管国家支持的网络攻击、间谍活动和恐怖主义并不是什么新鲜事,但这种恶意软件的规模和范围是许多网络分析师所评测的。 它还展示了一定程度的复杂性,表明网络犯罪分子能够以多快的速度跟上不断发展的互联网趋势和平台。

Abbas Ibrahim 少将代表 GDGS 否认与 Dark Caracal 有任何牵连或与全球 CrossRAT 恶意软件有任何联系。

根据 The Verge 的说法,“这些策略类似于之前与政府相关的间谍软件活动,通过鱼叉式网络钓鱼或水坑攻击针对个人,然后使用恶意软件植入物悄悄地从他们的手机中窃取数据。”

在追踪网络攻击的六个月期间,发现在德国、巴基斯坦和委内瑞拉发生了六次单独的攻击活动。 EEF 还将这些攻击与 2015 年类似的攻击联系起来,该攻击涉及一种不同但类似形式的针对哈萨克斯坦持不同政见者的恶意软件。 这导致一些分析师推测这些活动是“一种新型间谍软件服务的一部分,它通过目标合同工作而不是直接销售工具。” 雇佣一名数字间谍,而不是代表任何政府运作的间谍。

被诱骗下载病毒的 Mac 用户通过以下链接被定向到不安全的网络犯罪控制网站 Facebook, WhatsApp 和其他社交网络和消息传递平台,包括 Slack 和 Whisper。

CrossRAT 病毒通常通过带有名为 媒体管理器.jar。

图片来源:https://thehackernews.com

下载远程访问木马 (RAT) 后,它可以操纵安全设置、复制文件和数据、截取屏幕截图、录制音频和视频,并且可以在您的 Mac 上停留数月而不被发现。 对于感染了 CrossRAT 恶意软件的 Mac 用户来说,这是一个长期存在的问题。 您的 Mac 已被感染可能并不明显。 恶意软件并不总是出现症状或奇怪的行为; 因此,您冒着在不知不觉中将您的数据发送给网络犯罪团伙的风险,而没有意识到恶意软件已经感染了您的 Mac。

然而,一个可取之处是 CrossRAT 是用 Java 编写的,幸运的是,这使得安全专家更容易检测和逆向工程病毒。

从 mac 中删除 crossrat 恶意软件

怎样检查您的 Mac 是否被感染

查看您是否被感染的一种方法是查看您的库文件夹。 您可以通过单击 Finder > Go > Go to Folder… 来访问它。

远程访问木马

现在,复制粘贴以下位置:

~/Library
检查jar文件, 媒体管理器.jar,在〜/库中。

~/Library/LaunchAgents
查找名为的启动代理 mediamgr.plist.

重复最后一步 /Library/LaunchAgents

就 Mac 用户而言,另一个好处是它需要启用 Java 才能正常工作。 正如一位安全专家指出的那样:

“幸运的是,最新版本的 macOS 没有附带 Java。 大多数 macOS 用户应该是安全的! 当然,如果 Mac 用户已经安装了 Java,或者攻击者能够强迫天真的用户先安装 Java,CrossRAT 将运行得非常好,即使在最新版本的 macOS 上也是如此。”

怎样去除交叉鼠

怎样删除 CrossRAT?

一种方法是卸载 Java,如果您曾经安装过 Java,或者使用的 Mac 已经足够老,仍然可以将其内置到系统中。

另一种方法是手动搜索 – 正如我们上面提到的 – 这些是您应该首先查看的地方。 检查这些文件后,值得在每个库和目录中搜索任何看起来不合适的内容。 特别是如果您访问过任何您不确定的网站,或者在点击以下链接后觉得不安全时 Facebook, WhatsApp 或其他社交网络。

手动搜索 CrossRAT 的可执行文件可能隐藏的任何地方可能需要数小时的工作。

安全消除这种情况的最有效方法是下载 CleanMyMac X(大多数防病毒软件无法检测 CrossRAT),而不是手动路线。

删除 crossrat 恶意软件

最快的方法:使用应用程序销毁 CrossRAT

由一些技术专家推荐,如传奇的 Bob LeVitus,又名 Mac 博士,CleanMyMac 应用程序已被证明可以有效对抗 macOS 上的病毒。 它扫描并消除了许多最近发现的恶意软件,例如 BlackHole 病毒或 CrossRAT。 此外,它还可以清除多年来您甚至不知道自己在 Mac 上拥有的垃圾和看不见的应用程序。

使用 CleanMyMac X 删除 CrossRAT:

  1. 下载 CleanMyMac X(该应用程序免费版的链接)
  2. 使用恶意软件删除工具;
  3. 单击扫描,以便扫描所有已知病毒,包括 CrossRAT
  4. 如果您的 Mac 受到感染,这将显示
CrossRAT 恶意软件:保护您的 Mac 1

现在 CleanMyMac X 可以安全地删除所有导致 Mac 问题的病毒、恶意软件和其他任何东西。

笔记:该应用程序的免费版本允许免费扫描您的 Mac 以查找此恶意软件的变体。

CrossRAT 几乎可以肯定是一个敌对政府的工作,它在网络上移动时诱捕目标和无辜的人。 非常难检测。 而且也不容易去除。 通过努力或正确的应用程序,您可以找到并删除这个讨厌的木马。