Cos'è CronRAT?
CronRAT è una nuova minaccia malware sofisticata di tipo trojan ad accesso remoto, scoperto poco prima del Black Friday di quest'anno. Il malware è ricco di capacità stealth mai viste prima. Si nasconde nel sistema di calendario Linux su un particolare, data inesistente, 31 febbraio. Apparentemente, nessun fornitore di sicurezza riconosce CronRAT, il che significa che probabilmente rimarrà inosservato su infrastrutture critiche per mesi.
Qual è lo scopo di CronRAT??
Il malware consente un lato server Skimmer Magecart, aggirando così i meccanismi di protezione della sicurezza basati sul browser.
Il RAT è stato scoperto dai ricercatori Sansec, che dicono che è “presente su più negozi online,” compreso un grande outlet. E 'degno di nota, a causa della nuova infrastruttura del malware, l'impresa ha dovuto riscrivere uno dei suoi algoritmi per rilevare in.
Dettagli della campagna CronRAT
Ci si aspetta in qualche modo di aspettarsi un nuovo pezzo di furto di dati, scremare il malware subito prima del Black Friday e delle vacanze invernali. Questo periodo dell'anno è solitamente "pieno" di attacchi contro le aziende di e-commerce.
Attualmente, il RAT è presente su diversi negozi online, uno dei quali abbastanza grande. Il malware si nasconde con successo nel sottosistema del calendario dei server Linux (chiamato "cron") in un giorno inesistente. Grazie a questo trucco intelligente, i suoi operatori non attireranno l'attenzione degli amministratori del server. Per non parlare del fatto che la maggior parte dei prodotti di sicurezza non è pensata per eseguire la scansione del sistema cron di Linux.
"CronRAT facilita il controllo persistente su un server eCommerce. Sansec ha studiato diversi casi in cui la presenza di CronRAT ha portato all'iniezione di skimmer a pagamento (alias Magecart) nel codice lato server,"Osserva il rapporto.
Skimming digitale Spostamento sul server
Il direttore della ricerca sulle minacce di Sansec, Willem de Groot, ha affermato che "lo skimming digitale si sta spostando dal browser al server". Questa tattica garantisce agli attori delle minacce che non verranno rilevati, poiché la maggior parte dei negozi online ha solo una difesa basata su browser. Questo modo, i criminali informatici “capitalizzano sul back-end non protetto. "I professionisti della sicurezza dovrebbero davvero considerare l'intera superficie di attacco,"aggiunse il Groot.
È fondamentale sottolineare che le capacità di CronRAT sono una vera minaccia per i server di eCommerce Linux. Ecco un elenco delle capacità dannose del malware, secondo Il rapporto di Sansec:
- Esecuzione senza file
- Modulazione del tempo
- Checksum anti-manomissione
- Controllato tramite binario, protocollo offuscato
- Avvia RAT in tandem in un sottosistema Linux separato
- Server di controllo travestito da servizio "Dropbear SSH"
- Payload nascosto nei nomi di attività pianificate CRON legittimi
I ricercatori hanno dovuto trovare un approccio completamente nuovo per rilevare il malware - "un client RAT appositamente predisposto per intercettare i comandi" - ma questo li ha portati alla scoperta di un altro RAT piuttosto furtivo. Dicono che i dettagli sono in sospeso.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: