Malware de Linux, CronRAT, se esconde en un trabajo cron con fechas incorrectas

Helga Smithdiciembre 2, 2021Última actualización: diciembre 18, 2021
166 1 minuto de lectura

Investigadores de la empresa holandesa Sansec haber descubierto un nuevo malware para Linux CronRAT. Es un troyano de acceso remoto (RATA) que escapa a la detección escondiéndose en tareas programadas para ejecutarse el día inexistente del 31 de febrero.

El malware se llama CronRAT y principalmente ataca a las tiendas online, Permitir a los ciberdelincuentes robar datos de tarjetas bancarias e implementar skimmers web en servidores Linux. (es decir, para llevar a cabo el llamado MageCart ataques). Desafortunadamente, muchas soluciones de seguridad simplemente no “ver” CronRAT por una serie de peculiaridades en su funcionamiento.

CronRAT abusa del sistema de programación de tareas de Linux, cron, que permite programar tareas para que se ejecuten en días naturales inexistentes, como el 31 de febrero. En este caso, el sistema cron acepta tales fechas si tienen un formato válido (incluso si el día no existe en el calendario), pero tal tarea programada simplemente no se completará.

Aprovechando esta función, CronRAT permanece prácticamente invisible. En su informe, Sansec los expertos dicen que el malware esconde un “programa de bash complejo” en los nombres de dichas tareas programadas.

CronRAT agrega una serie de tareas al crontab con una especificación de fecha interesante: 52 23 31 2 3. Estas líneas son sintácticamente correctas pero generarán un error de tiempo de ejecución cuando se ejecuten. sin embargo, esto nunca sucederá, dado que el lanzamiento de tales tareas generalmente está programado para el 31 de febrero.

La carga útil real está ofuscada con múltiples niveles de compresión y Base64. Los investigadores dicen que código incluye comandos para la autodestrucción, modulación de tiempo, y un protocolo personalizado que le permite comunicarse con un servidor remoto.

Código CronRAT

Decodificador CronRAT

Se sabe que el malware se comunica con el C&Servidor C (47.115.46.167) utilizando “una función exótica del kernel de Linux que proporciona comunicación TCP a través de un archivo.” Adicionalmente, la conexión se realiza a través de TCP a través del puerto 443 usando un banner falso para el servicio Dropbear SSH, que también ayuda a que el troyano pase desapercibido.

Como se ha mencionado más arriba, CronRAT se encontró en muchas tiendas en línea de todo el mundo., donde se usó para implementar scripts de skimmer especiales que roban datos de tarjetas de pago. Sansec describe el malware como “una seria amenaza para los servidores de comercio electrónico basados ​​en Linux.”

El problema se agrava por el hecho de que CronRAT es casi invisible para las soluciones de seguridad.. De acuerdo a VirusTotal, 12 las soluciones antivirus no pudieron procesar el archivo malicioso en absoluto, y 58 no encontré ninguna amenaza en él.

Déjame recordarte que también hablamos de otro Malware de Linux FontOnLake que se utiliza en ataques dirigidos.

Etiquetas
Helga Smithdiciembre 2, 2021Última actualización: diciembre 18, 2021
166 1 minuto de lectura

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba