¿Qué es CronRAT??
CronRAT es una nueva y sofisticada amenaza de malware del tipo troyano de acceso remoto., descubierto justo antes del Black Friday de este año. El malware está repleto de capacidades de sigilo nunca antes vistas.. Se esconde en el sistema de calendario de Linux en un particular, fecha inexistente, 31 de febrero. Al parecer,, ningún proveedor de seguridad reconoce CronRAT, lo que significa que probablemente no se detecte en la infraestructura crítica durante meses.
¿Cuál es el propósito de CronRAT??
El malware habilita un servidor Desnatador de carros mágicos, evitando así los mecanismos de protección de seguridad basados en el navegador.
La RAT fue descubierta por investigadores de Sansec, que dicen que está "presente en varias tiendas online,"Incluyendo una gran salida. Es de destacar que, debido a la nueva infraestructura del malware, la empresa tuvo que reescribir uno de sus algoritmos para detectar en.
Detalles de la campaña CronRAT
De alguna manera se espera esperar una nueva pieza de robo de datos., eliminar el malware justo antes del Black Friday y las vacaciones de invierno. Esta época del año suele estar "repleta" de ataques contra empresas de comercio electrónico..
Actualmente, la RAT está presente en varias tiendas online, uno de los cuales bastante grande. El malware se esconde con éxito en el subsistema de calendario de los servidores Linux. (llamado "cron") en un dia inexistente. Gracias a este ingenioso truco, sus operadores no atraerán la atención de los administradores del servidor. Sin mencionar que la mayoría de los productos de seguridad no están diseñados para escanear el sistema cron de Linux..
“CronRAT facilita el control persistente sobre un servidor de comercio electrónico. Sansec ha estudiado varios casos en los que la presencia de CronRAT condujo a la inyección de skimmers de pago (también conocido como Magecart) en código del lado del servidor,”Señaló el informe.
Desnatado digital que se traslada al servidor
El director de investigación de amenazas de Sansec, Willem de Groot, dijo que "el skimming digital se está moviendo del navegador al servidor". Esta táctica asegura a los actores de amenazas que no serán detectados, ya que la mayoría de las tiendas en línea solo tienen defensa basada en navegador. De esta manera, los ciberdelincuentes "aprovechan el back-end desprotegido. "Los profesionales de la seguridad deberían considerar la superficie de ataque completa,"Agregó Groot.
Es fundamental destacar que las capacidades de CronRAT son una amenaza real para los servidores de comercio electrónico de Linux.. A continuación, se muestra una lista de las capacidades maliciosas del malware., según Informe de Sansec:
- Ejecución sin archivos
- Modulación de tiempo
- Sumas de comprobación anti-manipulación
- Controlado vía binario, protocolo ofuscado
- Lanza RAT en tándem en un subsistema de Linux separado
- Servidor de control disfrazado de servicio "Dropbear SSH"
- Carga útil oculta en nombres legítimos de tareas programadas de CRON
Los investigadores tuvieron que idear un enfoque completamente nuevo para detectar el malware, "un cliente RAT especialmente diseñado para interceptar comandos", pero esto los ha llevado al descubrimiento de otro RAT bastante sigiloso.. Dicen que los detalles están pendientes.