LinuxParty

El malware que afecta a Windows, Linux y macOS entra dentro de los conocidos como troyanos, y está diseñado para proporcionar a los atacantes acceso remoto para la manipulación del sistema de archivos del ordenador de su víctima, así como tomar capturas de pantalla y muchos más. Se está distribuyendo por redes sociales, así como apps de mensajería instantánea como WhatsApp.

Además de ser multiplataforma, y por tanto tener un mayor alcance por sus víctimas potenciales, se están empleando técnicas de viralización para infectar al máximo de dispositivos posibles. Usando para ello mensajes difundidos a través de WhatsApp, y la red social Facebook donde se distribuye este troyano programado con Java. Es precisamente este lenguaje de programación lo que ha facilitado la investigación del troyano CrossRAT. No obstante, por el momento únicamente dos antivirus –de 58, según VirusTotal- son capaces de detectar la amenaza.

Rutas

En Linux podemos detectar la amenaza accediendo a /usr/var; si el ordenador está infectado, encontraremos un archivo jar llamado mediamgrs.jar.

Por si ha cambiado el nombre, ya puedes buscarlo con el comando:

sudo find /usr -iname "media*.jar"

En Windows, en la ruta ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run\’ del registro del sistema veremos un comando java,-jar o mediamgrs.jar en sistemas infectados.

En macOS encontraríamos el archivo mediamgrs.jar, en ~/Library en caso de que el dispositivo esté infectado, o bien el archivo mediamgrs.plist en los directorios/Library/LaunchAgents o ~/Library/LaunchAgents named mediamgrs.plist.