Malware Linux, CronRAT, si nasconde in un cron job con date errate

Helga Smithdicembre 2, 2021Ultimo aggiornamento: dicembre 18, 2021
166 1 lettura minuto

Ricercatori della società olandese Sansec ho scoperto un nuovo malware per Linux CronRAT. È un Trojan di accesso remoto (RATTO) che sfugge al rilevamento nascondendosi nelle attività programmate per l'esecuzione nel giorno inesistente del 31 febbraio.

Il malware si chiama CronRAT e attacca principalmente i negozi online, consentire ai criminali informatici di rubare i dati delle carte bancarie e distribuire skimmer web su server Linux (questo è, per svolgere il cosiddetto MagoCarrello attacchi). Sfortunatamente, molte soluzioni di sicurezza semplicemente non lo fanno “vedere” CronRAT a causa di una serie di peculiarità nel suo funzionamento.

CronRAT abusa del sistema di pianificazione delle attività di Linux, cron, che consente di pianificare l'esecuzione delle attività in giorni di calendario inesistenti come il 31 febbraio. In questo caso, il sistema cron accetta tali date se hanno un formato valido (anche se il giorno non esiste nel calendario), ma un tale compito pianificato semplicemente non sarà completato.

Sfruttando questa funzione, CronRAT rimane praticamente invisibile. Nel loro rapporto, Sansec gli esperti dicono che il malware nasconde un “programma bash complesso” nei nomi di tali compiti programmati.

CronRAT aggiunge una serie di attività al crontab con un'interessante specifica della data: 52 23 31 2 3. Queste righe sono sintatticamente corrette ma genereranno un errore di runtime quando eseguite. però, questo non accadrà mai, poiché l'avvio di tali attività è generalmente previsto per il 31 febbraio.

Il payload effettivo è offuscato da più livelli di compressione e Base64. I ricercatori dicono che codice include comandi per l'autodistruzione, modulazione del tempo, e un protocollo personalizzato che gli consente di comunicare con un server remoto.

Codice CronRAT

Decodificatore CronRAT

Il malware è noto per comunicare con il C&C server (47.115.46.167) usando “una funzione esotica del kernel Linux che fornisce la comunicazione TCP tramite un file.” Inoltre, la connessione viene effettuata tramite TCP su porta 443 utilizzando un banner falso per il servizio Dropbear SSH, che aiuta anche il Trojan a passare inosservato.

Come menzionato sopra, CronRAT è stato trovato in molti negozi online in tutto il mondo, dove è stato utilizzato per implementare speciali script skimmer che rubano i dati delle carte di pagamento. Sansec descrive il malware come “una seria minaccia per i server eCommerce basati su Linux.”

Il problema è aggravato dal fatto che CronRAT è quasi invisibile alle soluzioni di sicurezza. Secondo VirusTotale, 12 le soluzioni antivirus non sono riuscite a elaborare il file dannoso, e 58 non ho trovato alcuna minaccia in esso.

Vi ricordo che abbiamo parlato anche di un altro Malware Linux FontOnLake che viene utilizzato in attacchi mirati.

tag
Helga Smithdicembre 2, 2021Ultimo aggiornamento: dicembre 18, 2021
166 1 lettura minuto

Helga Smith

Sono sempre stato interessato all'informatica, in particolare la sicurezza dei dati e il tema, che si chiama oggi "scienza dei dati", dalla mia prima adolescenza. Prima di entrare nel team di rimozione virus come caporedattore, Ho lavorato come esperto di sicurezza informatica in diverse aziende, incluso uno degli appaltatori di Amazon. Un'altra esperienza: Ho l'insegnamento nelle università di Arden e Reading.

lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come il tuo commento dati vengono elaborati.

Pulsante Torna in alto