CronRAT

Una sofisticata minaccia malware che utilizza tecniche innovative per mascherare le sue azioni nefaste è stata identificata dai ricercatori di una società di sicurezza informatica olandese. Chiamata CronRAT, la minaccia è classificata come RAT - Remote Access Trojan. Prende di mira i negozi Web e fornisce agli aggressori i mezzi per iniettare skimmer di pagamento online sui server Linux compromessi. In definitiva, l'obiettivo degli hacker è ottenere i dati della carta di credito che possono essere successivamente sfruttati. Le numerose tecniche di evasione impiegate dalla minaccia la rendono quasi impercettibile.

Dettagli tecnici

La caratteristica distintiva di CronRAT è il modo in cui abusa del sistema di pianificazione delle attività di Linux (cron) per nascondere un sofisticato programma Bash. Il malware inietta diverse attività a crontab che hanno un formato valido in modo che il sistema le accetti. Queste attività genereranno un errore di runtime quando vengono eseguite, ma ciò non accadrà perché sono pianificate per l'esecuzione in date inesistenti, come il 31 febbraio. Il codice danneggiato della minaccia è nascosto nei nomi di queste attività pianificate.

Dopo aver rimosso diversi livelli di offuscamento, i ricercatori di infosec sono stati in grado di scoprire comandi per l'autodistruzione, modifiche dei tempi e un protocollo personalizzato per la comunicazione con il server Command-and-Control degli aggressori (C2, C&C). Il contatto con il server remoto si ottiene tramite un'oscura funzionalità del kernel Linux che consente le comunicazioni TCP tramite un file. Inoltre, la connessione viene trasferita su TCP tramite la porta 443 fingendo di essere un servizio SSH Dropbear. Alla fine, gli aggressori saranno in grado di eseguire comandi arbitrari sui sistemi violati.

Conclusione

CronRAT è considerato una grave minaccia per i server di eCommerce Linux a causa delle sue capacità minacciose. La minaccia dispone di tecniche di rilevamento-evasione, come l'esecuzione senza file, la modulazione temporale, l'uso di un protocollo binario offuscato, l'uso di nomi di attività pianificate CRON legittimi per nascondere i payload e altro ancora. In pratica, è praticamente impercettibile e potrebbe essere necessario implementare misure speciali per salvaguardare i loro server Linux mirati.