Qu'est-ce que CronRAT?
CronRAT est une nouvelle menace de malware sophistiquée du type cheval de Troie d'accès à distance, découvert juste avant le Black Friday de cette année. Le malware regorge de capacités de furtivité inédites. Il se cache dans le système de calendrier Linux sur un, non-existent date, 31 février. Apparemment, aucun fournisseur de sécurité ne reconnaît CronRAT, ce qui signifie qu'il restera probablement non détecté sur les infrastructures critiques pendant des mois.
Quel est le but de CronRAT?
Le malware permet un côté serveur Écumoire Magecart, contournant ainsi les mécanismes de protection de sécurité basés sur le navigateur.
Le RAT a été découvert par des chercheurs de Sansec, qui disent qu'il est « présent sur plusieurs boutiques en ligne,” dont un grand point de vente. Il est à noter que, en raison de la nouvelle infrastructure du malware, la firme a dû réécrire un de ses algorithmes afin de détecter en.
Détails de la campagne CronRAT
On s'attend quelque peu à s'attendre à un nouveau vol de données, écrémage des logiciels malveillants juste avant le Black Friday et les vacances d'hiver. Cette période de l'année est généralement « emballée » avec des attaques contre les entreprises de commerce électronique.
Actuellement, le RAT est présent sur plusieurs boutiques en ligne, dont un assez grand. Le malware se cache avec succès dans le sous-système de calendrier des serveurs Linux (appelé "cron") un jour inexistant. Grâce à cette astuce, ses opérateurs n'attireront aucune attention des administrateurs de serveur. Sans oublier que la plupart des produits de sécurité ne sont pas destinés à analyser le système Linux cron.
« CronRAT facilite le contrôle persistant sur un serveur de commerce électronique. Sansec a étudié plusieurs cas où la présence de CronRAT a conduit à l'injection de skimmers de paiement (alias Magecart) dans le code côté serveur,»Le rapport note.
Déplacement de l'écrémage numérique vers le serveur
Willem de Groot, directeur de la recherche sur les menaces de Sansec, a déclaré que "l'écrémage numérique se déplace du navigateur vers le serveur". Cette tactique garantit aux acteurs de la menace qu'ils ne seront pas détectés, car la plupart des magasins en ligne n'ont qu'une défense basée sur un navigateur. De cette façon,, les cybercriminels « capitalisent sur le back-end non protégé. « Les professionnels de la sécurité devraient vraiment prendre en compte toute la surface d'attaque," ajouta le Groot.
Il est crucial de souligner que les capacités de CronRAT sont une menace réelle pour les serveurs de commerce électronique Linux. Voici une liste des capacités malveillantes du malware, comme par Le rapport de Sansec:
- Exécution sans fichier
- Modulation temporelle
- Sommes de contrôle anti-falsification
- Contrôlé via binaire, protocole obscurci
- Lance le tandem RAT dans un sous-système Linux séparé
- Serveur de contrôle déguisé en service « Dropbear SSH »
- Charge utile cachée dans les noms de tâches planifiées CRON légitimes
Les chercheurs ont dû proposer une approche entièrement nouvelle pour détecter le malware - "un client RAT spécialement conçu pour intercepter les commandes" - mais cela les a conduits à la découverte d'un autre RAT plutôt furtif.. Ils disent que les détails sont en attente.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: