Malware Linux, CronRAT, está se escondendo em um cron job com datas incorretas

Helga Smithdezembro 2, 2021Última Actualização dezembro 18, 2021
166 lido 1 minuto

Pesquisadores da empresa holandesa Sansec ter descoberto um novo malware para Linux CronRAT. É um Trojan de acesso remoto (RATO) que escapa da detecção, escondendo-se em tarefas agendadas para serem executadas no dia inexistente de 31 de fevereiro.

O malware é chamado CronRAT e principalmente ataca lojas online, permitindo que os cibercriminosos roubem dados de cartões bancários e implantem skimmers da web em servidores Linux (isso é, para realizar o chamado MageCart ataques). Infelizmente, muitas soluções de segurança simplesmente não “Vejo” CronRAT devido a uma série de peculiaridades em seu funcionamento.

CronRAT abusa do sistema de agendamento de tarefas do Linux, cron, que permite que as tarefas sejam agendadas para serem executadas em dias de calendário inexistentes, como 31 de fevereiro. Nesse caso, o sistema cron aceita tais datas se elas tiverem um formato válido (mesmo que o dia não exista no calendário), mas essa tarefa agendada simplesmente não será concluída.

Aproveitando este recurso, CronRAT permanece virtualmente invisível. Em seu relatório, Sansec especialistas dizem que o malware esconde um “programa bash complexo” nos nomes de tais tarefas agendadas.

O CronRAT adiciona uma série de tarefas ao crontab com uma especificação de data interessante: 52 23 31 2 3. Estas linhas estão sintaticamente corretas, mas irão gerar um erro de tempo de execução quando executadas. Contudo, isso nunca vai acontecer, uma vez que o lançamento de tais tarefas é geralmente agendado para 31 de fevereiro.

A carga útil real é ofuscada com vários níveis de compressão e Base64. Os pesquisadores dizem que o código inclui comandos para autodestruição, modulação de tempo, e um protocolo personalizado que permite a comunicação com um servidor remoto.

Código CronRAT

Decodificador CronRAT

O malware é conhecido por se comunicar com o C&Servidor C (47.115.46.167) usando “uma função exótica do kernel do Linux que fornece comunicação TCP por meio de um arquivo.” além do que, além do mais, a conexão é feita sobre TCP pela porta 443 usando um banner falso para o serviço SSH Dropbear, o que também ajuda o Trojan a passar despercebido.

Como acima mencionado, O CronRAT foi encontrado em muitas lojas online em todo o mundo, onde foi usado para implementar scripts skimmer especiais que roubam dados de cartão de pagamento. Sansec descreve o malware como “uma séria ameaça aos servidores de comércio eletrônico baseados em Linux.”

O problema é agravado pelo fato de que o CronRAT é quase invisível para soluções de segurança. De acordo com VirusTotal, 12 soluções antivírus não conseguiram processar o arquivo malicioso, e 58 não encontrou nenhuma ameaça nele.

Deixe-me lembrá-lo de que também falamos sobre outro Malware Linux FontOnLake que é usado em ataques direcionados.

Tag
Helga Smithdezembro 2, 2021Última Actualização dezembro 18, 2021
166 lido 1 minuto

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo