CronRATとは?
CronRATは、リモートアクセス型トロイの木馬タイプの新しい高度なマルウェアの脅威です。, 今年のブラックフライデーの直前に発見. マルウェアには、これまでに見られなかったステルス機能が満載されています. 特定のLinuxカレンダーシステムに隠れています, 存在しない日付, 2月31日. どうやら, CronRATを認識しているセキュリティベンダーはありません, これは、重要なインフラストラクチャで数か月間検出されないままになる可能性があることを意味します.
CronRATの目的は何ですか?
マルウェアはサーバー側を有効にします メイジカートスキマー, したがって、ブラウザベースのセキュリティ保護メカニズムを回避します.
RATはSansecの研究者によって発見されました, 「複数のオンラインストアに存在している」と言う人,」大きなコンセントを含む. 注目に値するのは, マルウェアの新しいインフラストラクチャのため, 会社はで検出するためにそのアルゴリズムの1つを書き直さなければなりませんでした.
CronRATキャンペーンの詳細
新しいデータ盗難が予想されます, ブラックフライデーと冬休みの直前にマルウェアをスキミング. この時期は通常、eコマースビジネスに対する攻撃で「いっぱい」になります.
現在, RATはいくつかのオンラインストアに存在します, そのうちの1つはかなり大きい. マルウェアはLinuxサーバーのカレンダーサブシステムに正常に隠れています (「cron」と呼ばれます) 存在しない日に. この巧妙なトリックのおかげで, そのオペレーターはサーバー管理者からの注目を集めません. 言うまでもなく、ほとんどのセキュリティ製品はLinuxcronシステムをスキャンするためのものではありません。.
「CronRATはeコマースサーバーの永続的な制御を容易にします. Sansecは、CronRATの存在が支払いスキマーの注入につながるいくつかのケースを研究しました (別名Magecart) サーバーサイドコード,」と報告書は述べています.
サーバーへのデジタルスキミングの移行
Sansecの脅威調査ディレクターであるWillemdeGrootは、「デジタルスキミングはブラウザからサーバーに移行している」と述べています。. この戦術は、脅威アクターが検出されないようにします, ほとんどのオンラインストアにはブラウザベースの防御しかありません. こちらです, サイバー犯罪者は「保護されていないバックエンドを活用する. 「セキュリティの専門家は、攻撃対象領域全体を検討する必要があります。,」deGrootが追加されました.
CronRATの機能がLinuxeコマースサーバーに対する真の脅威であることを強調することが重要です. これがマルウェアの悪意のある機能のリストです, に従って Sansecのレポート:
- ファイルレス実行
- タイミング変調
- 改ざん防止チェックサム
- バイナリ経由で制御, 難読化されたプロトコル
- 別のLinuxサブシステムでタンデムRATを起動します
- 「DropbearSSH」サービスを装ったコントロールサーバー
- 正当なCRONスケジュールタスク名に隠されたペイロード
研究者は、マルウェアを検出するためのまったく新しいアプローチ、つまり「コマンドを傍受するために特別に細工されたRATクライアント」を考え出す必要がありましたが、これにより、別のかなりステルスなRATが発見されました。. 詳細は保留中だと彼らは言う.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: