Huis > Cyber ​​Nieuws > CronRAT Malware Skimming van de browser naar de server
CYBER NEWS

CronRAT-malware brengt skimming van de browser naar de server

Cronrat glinstert

Wat is CronRAT?

CronRAT is een nieuwe geavanceerde malwarebedreiging van het type trojan voor externe toegang, ontdekt net voor Black Friday van dit jaar. De malware zit boordevol ongekende stealth-mogelijkheden. Het verbergt zich in het Linux-kalendersysteem op een bepaalde, niet-bestaande datum, 31 februari. Blijkbaar, geen enkele beveiligingsleverancier herkent CronRAT, wat betekent dat het waarschijnlijk maandenlang onopgemerkt blijft op kritieke infrastructuur.




Wat is het doel van CronRAT??

De malware maakt een server-side Magecart skimmer, waardoor browsergebaseerde beveiligingsbeschermingsmechanismen worden omzeild.

De RAT werd ontdekt door Sansec-onderzoekers, die zeggen dat het "aanwezig is in meerdere online winkels",”inclusief een grote outlet. het is opmerkelijk dat, vanwege de nieuwe infrastructuur van de malware, het bedrijf moest een van zijn algoritmen herschrijven om in.

CronRAT-campagnedetails

Er wordt enigszins verwacht dat er een nieuw stukje datadiefstal wordt verwacht, malware skimmen vlak voor Black Friday en de wintervakantie. Deze tijd van het jaar zit meestal 'vol' met aanvallen op e-commercebedrijven.

Momenteel, de RAT is aanwezig in verschillende online winkels, waarvan een vrij groot. De malware verbergt zich met succes in het agendasubsysteem van Linux-servers (genaamd "kroon") op een niet-bestaande dag. Dankzij deze slimme truc, de operators zullen geen aandacht trekken van serverbeheerders. Om nog maar te zwijgen van het feit dat de meeste beveiligingsproducten niet bedoeld zijn om het Linux cron-systeem te scannen.

“CronRAT maakt aanhoudende controle over een eCommerce-server mogelijk. Sansec heeft verschillende gevallen bestudeerd waarin de aanwezigheid van CronRAT leidde tot de injectie van betalingsskimmers (ook bekend als Magecart) in code aan de serverzijde,'Merkte het rapport op.

Digitaal skimmen Verhuizen naar de server

Sansec directeur bedreigingsonderzoek Willem de Groot zei dat "digital skimming zich verplaatst van de browser naar de server". Deze tactiek zorgt ervoor dat dreigingsactoren niet worden gedetecteerd, aangezien de meeste online winkels alleen browsergebaseerde verdediging hebben. Zo, cybercriminelen "kapitaliseren op de onbeschermde back-end". “Beveiligingsprofessionals moeten echt rekening houden met het volledige aanvalsoppervlak,” de Groot added.

Het is cruciaal om te benadrukken dat de mogelijkheden van CronRAT een reële bedreiging vormen voor Linux eCommerce-servers. Hier is een lijst van de kwaadaardige mogelijkheden van de malware, vanaf Sansec's rapport:

  • Bestandsloze uitvoering
  • Timing modulatie
  • Controlesommen tegen manipulatie
  • Gecontroleerd via binair, versluierd protocol
  • Lanceert tandem RAT in afzonderlijk Linux-subsysteem
  • Besturingsserver vermomd als "Dropbear SSH"-service
  • Payload verborgen in legitieme CRON geplande taaknamen

De onderzoekers moesten een geheel nieuwe aanpak bedenken om de malware te detecteren - "een speciaal vervaardigde RAT-client om commando's te onderscheppen" - maar dit heeft geleid tot de ontdekking van een andere nogal onopvallende RAT. Ze zeggen dat de details in behandeling zijn.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens