Hvad er CronRAT?
CronRAT er en ny sofistikeret malwaretrussel af typen fjernadgang trojaner, opdaget lige før dette års Black Friday. Malwaren er pakket med hidtil usete stealth-funktioner. Det gemmer sig i Linux-kalendersystemet på en bestemt, ikke-eksisterende dato, 31. februar. Tilsyneladende, ingen sikkerhedsleverandører genkender CronRAT, hvilket betyder, at det sandsynligvis vil forblive uopdaget på kritisk infrastruktur i flere måneder.
Hvad er CronRATs formål?
Malwaren aktiverer en serverside Magecart skimmer, dermed omgå browserbaserede sikkerhedsbeskyttelsesmekanismer.
RAT blev afsløret af Sansec-forskere, der siger, at det er "til stede på flere online butikker,” inklusive en stor stikkontakt. Det er bemærkelsesværdigt, at, på grund af malwarens nye infrastruktur, firmaet var nødt til at omskrive en af sine algoritmer for at kunne opdage ind.
CronRAT-kampagnedetaljer
Det forventes lidt at forvente et nyt stykke datatyveri, skimme malware lige før Black Friday og vinterferien. Denne tid af året er normalt "spækket" med angreb mod e-handelsvirksomheder.
I øjeblikket, RAT er til stede i flere online butikker, hvoraf en ret stor. Malwaren gemmer sig med succes i kalenderundersystemet på Linux-servere (kaldet "cron") på en ikke-eksisterende dag. Takket være dette smarte trick, dets operatører vil tiltrække nul opmærksomhed fra serveradministratorer. For ikke at nævne, at de fleste sikkerhedsprodukter ikke er beregnet til at scanne Linux cron-systemet.
"CronRAT letter vedvarende kontrol over en e-handelsserver. Sansec har undersøgt flere tilfælde, hvor tilstedeværelsen af CronRAT førte til indsprøjtning af betalingsskimmere (alias Magecart) i kode på serversiden,”Bemærkede rapporten.
Digital skimming flytter til serveren
Sansecs direktør for trusselsforskning Willem de Groot sagde, at "digital skimming bevæger sig fra browseren til serveren". Denne taktik sikrer trusselsaktører, at de ikke bliver opdaget, da de fleste online butikker kun har browserbaseret forsvar. På denne måde, cyberkriminelle "kapitaliserer på den ubeskyttede back-end. "Sikkerhedsprofessionelle bør virkelig overveje hele angrebsfladen,” tilføjede Groot.
Det er afgørende at fremhæve, at CronRATs muligheder er en reel trussel mod Linux eCommerce-servere. Her er en liste over malwarens ondsindede egenskaber, som pr Sansecs rapport:
- Filløs udførelse
- Timing modulering
- Anti-manipulation kontrolsummer
- Styres via binær, sløret protokol
- Lancerer tandem RAT i separat Linux-undersystem
- Kontrolserver forklædt som "Dropbear SSH"-tjeneste
- Nyttelast skjult i legitime CRON-planlagte opgavenavne
Forskerne var nødt til at finde på en helt ny tilgang til at opdage malwaren - "en specielt fremstillet RAT-klient til at opsnappe kommandoer" - men dette har ført dem til opdagelsen af en anden ret snigende RAT. De siger, at detaljer afventer.