Wat is CronRAT?
CronRAT is een nieuwe geavanceerde malwarebedreiging van het type trojan voor externe toegang, ontdekt net voor Black Friday van dit jaar. De malware zit boordevol ongekende stealth-mogelijkheden. Het verbergt zich in het Linux-kalendersysteem op een bepaalde, niet-bestaande datum, 31 februari. Blijkbaar, geen enkele beveiligingsleverancier herkent CronRAT, wat betekent dat het waarschijnlijk maandenlang onopgemerkt blijft op kritieke infrastructuur.
Wat is het doel van CronRAT??
De malware maakt een server-side Magecart skimmer, waardoor browsergebaseerde beveiligingsbeschermingsmechanismen worden omzeild.
De RAT werd ontdekt door Sansec-onderzoekers, die zeggen dat het "aanwezig is in meerdere online winkels",”inclusief een grote outlet. het is opmerkelijk dat, vanwege de nieuwe infrastructuur van de malware, het bedrijf moest een van zijn algoritmen herschrijven om in.
CronRAT-campagnedetails
Er wordt enigszins verwacht dat er een nieuw stukje datadiefstal wordt verwacht, malware skimmen vlak voor Black Friday en de wintervakantie. Deze tijd van het jaar zit meestal 'vol' met aanvallen op e-commercebedrijven.
Momenteel, de RAT is aanwezig in verschillende online winkels, waarvan een vrij groot. De malware verbergt zich met succes in het agendasubsysteem van Linux-servers (genaamd "kroon") op een niet-bestaande dag. Dankzij deze slimme truc, de operators zullen geen aandacht trekken van serverbeheerders. Om nog maar te zwijgen van het feit dat de meeste beveiligingsproducten niet bedoeld zijn om het Linux cron-systeem te scannen.
“CronRAT maakt aanhoudende controle over een eCommerce-server mogelijk. Sansec heeft verschillende gevallen bestudeerd waarin de aanwezigheid van CronRAT leidde tot de injectie van betalingsskimmers (ook bekend als Magecart) in code aan de serverzijde,'Merkte het rapport op.
Digitaal skimmen Verhuizen naar de server
Sansec directeur bedreigingsonderzoek Willem de Groot zei dat "digital skimming zich verplaatst van de browser naar de server". Deze tactiek zorgt ervoor dat dreigingsactoren niet worden gedetecteerd, aangezien de meeste online winkels alleen browsergebaseerde verdediging hebben. Zo, cybercriminelen "kapitaliseren op de onbeschermde back-end". “Beveiligingsprofessionals moeten echt rekening houden met het volledige aanvalsoppervlak,” de Groot added.
Het is cruciaal om te benadrukken dat de mogelijkheden van CronRAT een reële bedreiging vormen voor Linux eCommerce-servers. Hier is een lijst van de kwaadaardige mogelijkheden van de malware, vanaf Sansec's rapport:
- Bestandsloze uitvoering
- Timing modulatie
- Controlesommen tegen manipulatie
- Gecontroleerd via binair, versluierd protocol
- Lanceert tandem RAT in afzonderlijk Linux-subsysteem
- Besturingsserver vermomd als "Dropbear SSH"-service
- Payload verborgen in legitieme CRON geplande taaknamen
De onderzoekers moesten een geheel nieuwe aanpak bedenken om de malware te detecteren - "een speciaal vervaardigde RAT-client om commando's te onderscheppen" - maar dit heeft geleid tot de ontdekking van een andere nogal onopvallende RAT. Ze zeggen dat de details in behandeling zijn.