Linuxマルウェア, CronRAT, 日付が正しくないcronジョブに隠れています

オランダの会社Sansecの研究者 発見した LinuxCronRAT用の新しいマルウェア. これはリモートアクセス型トロイの木馬です (ねずみ) 2月31日の存在しない日に実行するようにスケジュールされたタスクに隠れることで検出を回避します.

マルウェアはと呼ばれます CronRAT 主にオンラインストアを攻撃します, サイバー犯罪者が銀行カードデータを盗み、LinuxサーバーにWebスキマーを配備できるようにする (あれは, いわゆる実行する MageCart 攻撃). 不運にも, 多くのセキュリティソリューションは単にそうではありません “見る” CronRATは、その操作にいくつかの特殊性があるためです.

CronRATはLinuxのタスクスケジューリングシステムを悪用します, cron, これにより、2月31日などの存在しない暦日にタスクを実行するようにスケジュールできます。. この場合, cronシステムは、有効な形式の日付を受け入れます (カレンダーにその日が存在しない場合でも), しかし、そのようなスケジュールされたタスクは単に完了しません.

この機能を利用することにより, CronRATは事実上見えないままです. 彼らの報告では, Sansec 専門家によると、マルウェアは “複雑なbashプログラム” そのようなスケジュールされたタスクの名前で.

実際のペイロードは、複数の圧縮レベルとBase64で難読化されています. 研究者は言う コード 自己破壊するためのコマンドが含まれています, 時間変調, リモートサーバーとの通信を可能にするカスタムプロトコル.

マルウェアはCと通信することが知られています&Cサーバー (47.115.46.167) を使用して “ファイルを介してTCP通信を提供するエキゾチックなLinuxカーネル関数。” 加えて, 接続はTCPoverportを介して行われます 443 DropbearSSHサービスに偽のバナーを使用する, これは、トロイの木馬が見過ごされるのにも役立ちます.

上記のように, CronRATは、世界中の多くのオンラインストアで見つかりました, ペイメントカードデータを盗む特別なスキマースクリプトを実装するために使用された場所. Sansecはマルウェアを次のように説明しています “Linuxベースのeコマースサーバーに対する深刻な脅威。”

別の話もしたことを思い出させてください Linuxマルウェア FontOnLake 標的型攻撃で使用されます.