O que é CronRAT?
CronRAT é uma nova ameaça de malware sofisticada do tipo trojan de acesso remoto, descoberto pouco antes da Black Friday deste ano. O malware é embalado com recursos furtivos nunca antes vistos. Ele se esconde no sistema de calendário do Linux em um determinado, data inexistente, 31 de fevereiro. Pelo visto, nenhum fornecedor de segurança reconhece o CronRAT, o que significa que provavelmente não será detectado na infraestrutura crítica por meses.
Qual é o propósito do CronRAT?
O malware permite um servidor Escumadeira Magecart, contornando assim os mecanismos de proteção de segurança baseados no navegador.
O RAT foi descoberto por pesquisadores da Sansec, que dizem que está “presente em várias lojas online,”Incluindo uma grande saída. Vale ressaltar que, por causa da nova infraestrutura do malware, a empresa teve que reescrever um de seus algoritmos a fim de detectar em.
Detalhes da campanha CronRAT
Espera-se, de certa forma, que haja um novo roubo de dados, análise de malware antes da Black Friday e das férias de inverno. Esta época do ano costuma ser "cheia" de ataques contra empresas de comércio eletrônico.
atualmente, a RAT está presente em várias lojas online, um dos quais bastante grande. O malware está se escondendo com sucesso no subsistema de calendário dos servidores Linux (chamado “cron”) em um dia inexistente. Graças a este truque inteligente, seus operadores não atrairão atenção dos administradores de servidor. Sem mencionar que a maioria dos produtos de segurança não se destina a fazer a varredura do sistema Linux cron.
“O CronRAT facilita o controle persistente sobre um servidor de comércio eletrônico. A Sansec estudou vários casos em que a presença do CronRAT levou à injeção de skimmers de pagamento (também conhecido como Magecart) no código do lado do servidor,”O relatório observou.
Skimming digital movendo-se para o servidor
O diretor de pesquisa de ameaças da Sansec, Willem de Groot, disse que "o skimming digital está mudando do navegador para o servidor". Essa tática garante que os atores da ameaça não serão detectados, como a maioria das lojas online só tem defesa baseada em navegador. Deste jeito, os cibercriminosos “capitalizam no back-end desprotegido. “Os profissionais de segurança devem realmente considerar toda a superfície de ataque,”O Groot adicionou.
É crucial destacar que os recursos do CronRAT são uma ameaça real para os servidores de comércio eletrônico Linux. Aqui está uma lista dos recursos maliciosos do malware, conforme Relatório Sansec:
- Execução sem arquivo
- Modulação de tempo
- Somas de verificação anti-adulteração
- Controlado via binário, protocolo ofuscado
- Lança RAT tandem em subsistema Linux separado
- Servidor de controle disfarçado de serviço “Dropbear SSH”
- Carga útil oculta em nomes de tarefas agendadas CRON legítimas
Os pesquisadores tiveram que criar uma abordagem inteiramente nova para detectar o malware - "um cliente RAT especialmente criado para interceptar comandos" - mas isso os levou à descoberta de outro RAT bastante furtivo. Eles dizem que os detalhes estão pendentes.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: