Was ist CronRAT?
CronRAT ist eine neue ausgeklügelte Malware-Bedrohung vom Typ Remote-Access-Trojaner, kurz vor dem diesjährigen Black Friday entdeckt. Die Malware ist vollgepackt mit bisher unbekannten Stealth-Funktionen. Es versteckt sich im Linux-Kalendersystem auf einem bestimmten, nicht vorhandenes Datum, 31. Februar. Offenbar, keine Sicherheitsanbieter erkennen CronRAT, Das bedeutet, dass es wahrscheinlich monatelang auf kritischen Infrastrukturen unentdeckt bleiben wird.
Was ist der Zweck von CronRAT??
Die Malware ermöglicht eine serverseitige Magecart-Abschäumer, Umgehung browserbasierter Sicherheitsschutzmechanismen.
Die RAT wurde von Sansec-Forschern entdeckt, die sagen, dass es "in mehreren Online-Shops vorhanden ist",” inklusive großem Auslauf. Es ist bemerkenswert, dass, wegen der neuartigen Infrastruktur der Malware, das Unternehmen musste einen seiner Algorithmen umschreiben, um in.
CronRAT-Kampagnendetails
Es wird erwartet, dass ein neues Stück Datendiebstahl erwartet wird, Skimming-Malware kurz vor dem Black Friday und den Winterferien. Diese Jahreszeit ist normalerweise „vollgepackt“ mit Angriffen auf E-Commerce-Unternehmen.
Zur Zeit, die RAT ist in mehreren Online-Shops präsent, einer davon ziemlich groß. Die Malware versteckt sich erfolgreich im Kalender-Subsystem von Linux-Servern (genannt "cron") an einem nicht existierenden tag. Dank diesem cleveren Trick, seine Betreiber werden keine Aufmerksamkeit von Serveradministratoren auf sich ziehen. Ganz zu schweigen davon, dass die meisten Sicherheitsprodukte nicht dazu gedacht sind, das Linux-Cron-System zu scannen.
„CronRAT ermöglicht die dauerhafte Kontrolle über einen eCommerce-Server. Sansec hat mehrere Fälle untersucht, in denen das Vorhandensein von CronRAT zur Injektion von Zahlungsskimmern führte (auch bekannt als Magecart) im serverseitigen Code,”Stellte der Bericht fest.
Digitales Skimming Umzug auf den Server
Willem de Groot, Direktor für Bedrohungsforschung bei Sansec, sagte, dass „digitales Skimming vom Browser auf den Server übergeht“. Diese Taktik stellt sicher, dass Bedrohungsakteure nicht entdeckt werden, da die meisten Online-Shops nur über eine browserbasierte Verteidigung verfügen. So, Cyberkriminelle „nutzen das ungeschützte Back-End“. „Sicherheitsexperten sollten wirklich die gesamte Angriffsfläche berücksichtigen,“ fügte der Groot hinzu.
Es ist wichtig hervorzuheben, dass die Fähigkeiten von CronRAT eine echte Bedrohung für Linux-eCommerce-Server sind. Hier ist eine Liste der bösartigen Fähigkeiten der Malware, gem Sansecs Bericht:
- Dateilose Ausführung
- Timing-Modulation
- Manipulationsschutzprüfsummen
- Gesteuert über Binär, verschleiertes Protokoll
- Startet Tandem-RAT in separatem Linux-Subsystem
- Kontrollserver als „Dropbear SSH“-Dienst getarnt
- Nutzlast versteckt in legitimen CRON-geplanten Aufgabennamen
Die Forscher mussten einen völlig neuen Ansatz finden, um die Malware zu erkennen – „einen speziell entwickelten RAT-Client zum Abfangen von Befehlen“ – aber dies führte sie zur Entdeckung einer weiteren ziemlich heimlichen RAT. Sie sagen, Details stehen noch aus.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: