มัลแวร์ลินุกซ์, CronRAT, กำลังซ่อนอยู่ในงาน cron โดยมีวันที่ไม่ถูกต้อง

Researchers from the Dutch company Sansec ได้ค้นพบแล้ว a new malware for Linux CronRAT. It is a Remote Access Trojan (หนู) that escapes detection by hiding in tasks scheduled to run on the nonexistent day of February 31st.

The malware is called CronRAT and mainly attacks online stores, allowing cybercriminals to steal bank card data and deploy web skimmers on Linux servers (นั่นคือ, to carry out the so-called MageCart attacks). น่าเสียดาย, many security solutions simply do notseeCronRAT due to a number of peculiarities in its operation.

CronRAT abuses Linux’s task scheduling system, cron, which allows tasks to be scheduled to run on non-existent calendar days such as February 31st. ในกรณีนี้, the cron system accepts such dates if they have a valid format (even if the day does not exist in the calendar), but such a scheduled task will simply not be completed.

By taking advantage of this feature, CronRAT remains virtually invisible. In their report, Sansec experts say that the malware hides acomplex bash programin the names of such scheduled tasks.

CronRAT adds a number of tasks to the crontab with an interesting date specification: 52 23 31 2 3. These lines are syntactically correct but will generate a run time error when executed. อย่างไรก็ตาม, this will never happen, since the launch of such tasks is generally scheduled for February 31st.

The actual payload is obfuscated with multiple compression levels and Base64. The researchers say the code includes commands for self-destruct, time modulation, and a custom protocol that allows it to communicate with a remote server.

CronRAT code

CronRAT decoder

The malware is known to communicate with the C&เซิร์ฟเวอร์ซี (47.115.46.167) usingan exotic Linux kernel function that provides TCP communication via a file.” นอกจากนี้, the connection is made over TCP over port 443 using a fake banner for the Dropbear SSH service, which also helps the Trojan go unnoticed.

ตามที่กล่าวไว้ข้างต้น, CronRAT was found in many online stores around the world, where it was used to implement special skimmer scripts that steal payment card data. Sansec describes the malware asa serious threat to Linux-based eCommerce servers.

The problem is aggravated by the fact that CronRAT is almost invisible to security solutions. ตาม ไวรัสรวม, 12 antivirus solutions failed to process the malicious file at all, และ 58 found no threat in it.

Let me remind you that we also talked about another มัลแวร์ลินุกซ์ FontOnLake that is used in targeted attacks.

เฮลก้า สมิธ

ฉันสนใจวิทยาการคอมพิวเตอร์มาโดยตลอด, โดยเฉพาะความปลอดภัยของข้อมูลและธีม, ซึ่งเรียกกันในปัจจุบันว่า "วิทยาศาสตร์ข้อมูล", ตั้งแต่วัยรุ่นตอนต้นของฉัน. ก่อนจะมาอยู่ในทีมกำจัดไวรัสในตำแหน่งหัวหน้าบรรณาธิการ, ฉันทำงานเป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในหลายบริษัท, รวมถึงหนึ่งในผู้รับเหมาของ Amazon. ประสบการณ์อื่น: ฉันได้สอนในมหาวิทยาลัยอาร์เดนและรีดดิ้ง.

ทิ้งคำตอบไว้

เว็บไซต์นี้ใช้ Akismet เพื่อลดสแปม. เรียนรู้วิธีประมวลผลข้อมูลความคิดเห็นของคุณ.

ปุ่มกลับไปด้านบน