بدافزار CorssRAT علاوه بر فراهم کردن موقعیتی که بتوان به دستگاه قربانی دسترسی داشت، قادر به سرقت اطلاعاتی حساس مانند تصویربرداری از فعالیت‌های کاربر بوده. همچنین امکان دست‌درازی به سیستم فایل و اجرای فایل‌های اجرایی مخرب دیگر را برای مهاجمان ایجاد می نماید.
گفتنی است که بدافزار CorssRAT از قابلیت ثبت کلیدهای فشرده شده توسط کاربر برخوردار است که ظاهرا در این نسخه مورد استفاده مهاجمان آن قرار نگرفته است.

حملات این مهاجمان با عنوان Dark Caraca شناخته می شود و به گفته ی برخی منابع ، فعالیت این گروه حداقل از سال 2012 میلادی شروع شده است.

به توصیه واحد تحقیقات مرکز بازیابی اطلاعات امین پایتخت بهترین روش برای مقابله با بد افزارها مطالعه روش حمله آنها و بستن راههای نفوذی میباشد. داشتن نسخه اصلی و به روز آنتی ویروس های بیت دیفندر و مک آفی نیز راهکاری مناسب میباشد.

این بدافزار به دلیل اینکه به زبان Java نوشته شده،موضوع مهندسی معکوس نمودن کد و بازبینی آنها را آسان کرده است. این موضوع نیز سبب گردیده که دیگر مهاجمان از این کدها در بدافزار خود استفاده کنند.

هنگامی که بدافزار CorssRAT بر روی دستگاه اجرا گردد، نخست سیستم عامل دستگاه قربانی بررسی شده و بعد نسخه ای که با آن متناسب است بر روی دستگاه نصب خواهد شد. همچنین با نشانی flexberry(dot)com بر روی درگاه 2223 ارتباط برقرار می‌کند.

البته این بدافزار قابلیت دیگری هم دارد که شامل مکانیزم ماندگار نمودن خود بر روی دستگاه و اجرای خودکار در هر بار راه‌اندازی شدن دستگاه می باشد.

بدافزار CorssRAT با نام های زیر قابل شناسایی می باشند:

McAfee:
– RDN/Generic.dx

Bitdefender:
– Trojan.Java.Agent.ALD

مرکز بازیابی اطلاعات هارد امین پایتخت.