CronRAT

Uma sofisticada ameaça de malware que emprega técnicas inovadoras para mascarar suas ações nefastas foi identificada pelos pesquisadores de uma empresa holandesa de segurança cibernética. Batizada como CronRAT, a ameaça é classificada como um RAT - Trojan de Acesso Remoto. Ele tem como alvo lojas da Web e fornece aos invasores os meios para injetar skimmers de pagamento online nos servidores Linux comprometidos. Em última análise, o objetivo dos hackers é obter dados do cartão de crédito que possam ser explorados posteriormente. As inúmeras técnicas de evasão empregadas pela ameaça a tornam quase indetectável.

Detalhes Técnicos

A característica de destaque do CronRAT é a maneira como ele abusa do sistema de agendamento de tarefas do Linux (cron) para ocultar um programa Bash sofisticado. O malware injeta várias tarefas no crontab que têm um formato válido para que o sistema as aceite. Essas tarefas resultarão em um erro de tempo de execução quando executadas, mas isso não acontecerá porque elas estão programadas para serem executadas em datas inexistentes, tais como 31 de fevereiro. O código corrompido da ameaça está oculto nos nomes dessas tarefas agendadas.

Depois de eliminar vários níveis de ofuscação, os pesquisadores de infosec foram capazes de descobrir comandos para autodestruição, modificações de tempo e um protocolo customizado para comunicação com o servidor de Comando e Controle dos invasores (C2, C&C). O contato com o servidor remoto é feito por meio de um recurso obscuro do kernel Linux que permite a comunicação TCP por meio de um arquivo. Além disso, a conexão é transportada por TCP via porta 443 fingindo ser um serviço SSH Dropbear. Por fim, os invasores serão capazes de executar comandos arbitrários nos sistemas violados.

Conclusão

O CronRAT é considerado uma ameaça grave para os servidores do comércio eletrônico Linux devido às suas capacidades ameaçadoras. A ameaça tem técnicas de evasão de detecção, tais como execução sem arquivo, modulação de tempo, o uso de um protocolo binário ofuscado, o uso de nomes de tarefas agendadas CRON legítimas para ocultar cargas úteis e muito mais. Na prática, é virtualmente indetectável e pode ser necessário implementar medidas especiais para proteger seus servidores Linux visados.