Malware Linux, CronRAT, se cache dans une tâche cron avec des dates incorrectes

Helga Smithdécembre 2, 2021Dernière mise à jour: décembre 18, 2021
166 Temps de lecture 1 minute

Des chercheurs de la société néerlandaise Sansec a découvert un nouveau malware pour Linux CronRAT. C'est un cheval de Troie d'accès à distance (RAT) qui échappe à la détection en se cachant dans des tâches planifiées pour s'exécuter le jour inexistant du 31 février.

Le malware s'appelle CronRAT et attaque principalement les boutiques en ligne, permettant aux cybercriminels de voler des données de cartes bancaires et de déployer des web skimmers sur des serveurs Linux (C'est, pour effectuer ce qu'on appelle MageCart attaques). Malheureusement, de nombreuses solutions de sécurité ne “voir” CronRAT en raison d'un certain nombre de particularités dans son fonctionnement.

CronRAT abuse du système de planification des tâches de Linux, cron, qui permet aux tâches d'être planifiées pour s'exécuter sur des jours calendaires inexistants tels que le 31 février. Dans ce cas, le système cron accepte de telles dates si elles ont un format valide (même si le jour n'existe pas dans le calendrier), mais une telle tâche planifiée ne sera tout simplement pas terminée.

En profitant de cette fonctionnalité, CronRAT reste pratiquement invisible. Dans leur rapport, Sansec les experts disent que le malware cache un “programme bash complexe” au nom de ces tâches planifiées.

CronRAT ajoute un certain nombre de tâches à la crontab avec une spécification de date intéressante: 52 23 31 2 3. Ces lignes sont syntaxiquement correctes mais généreront une erreur d'exécution lors de l'exécution. toutefois, cela n'arrivera jamais, puisque le lancement de telles tâches est généralement prévu pour le 31 février.

La charge utile réelle est obscurcie avec plusieurs niveaux de compression et Base64. Les chercheurs disent que le code inclut des commandes pour l'autodestruction, modulation du temps, et un protocole personnalisé qui lui permet de communiquer avec un serveur distant.

Code CronRAT

décodeur CronRAT

Le malware est connu pour communiquer avec le C&serveur C (47.115.46.167) à l'aide de “une fonction exotique du noyau Linux qui fournit une communication TCP via un fichier.” en outre, la connexion est établie via TCP sur le port 443 utiliser une fausse bannière pour le service Dropbear SSH, ce qui aide également le cheval de Troie à passer inaperçu.

Comme mentionné ci-dessus, CronRAT a été trouvé dans de nombreux magasins en ligne à travers le monde, où il a été utilisé pour implémenter des scripts de skimmer spéciaux qui volent les données des cartes de paiement. Sansec décrit le malware comme “une menace sérieuse pour les serveurs de commerce électronique basés sur Linux.”

Le problème est aggravé par le fait que CronRAT est presque invisible pour les solutions de sécurité. Selon VirusTotal, 12 les solutions antivirus n'ont pas réussi à traiter le fichier malveillant du tout, et 58 n'y a trouvé aucune menace.

Permettez-moi de vous rappeler que nous avons également parlé d'un autre Malware Linux PoliceSurLac qui est utilisé dans des attaques ciblées.

Mots clés
Helga Smithdécembre 2, 2021Dernière mise à jour: décembre 18, 2021
166 Temps de lecture 1 minute

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page