CronRat est un nouveau cheval de Troie Linux qui se cache dans les tâches planifiées. La date d'exécution du 31 février est bien sûr invalide, mais de nombreux programmes de sécurité ne la détectent pas.
Les chercheurs du spécialiste de la sécurité du commerce électronique Sansec ont découvert un nouveau cheval de Troie d'accès à distance Linux (RAT) qui a trouvé une façon inhabituelle de se cacher de la plupart des applications de sécurité sur les serveurs concernés. CronRAT, comme l'appellent les chercheurs en sécurité, se déguise en tâche planifiée avec une date d'exécution au 31 février. Étant donné que cette date est bien sûr invalide et n'existe pas, le malware parvient à échapper à l'attention de la plupart des programmes antivirus.
CronRat - Cheval de Troie d'accès à distance
Les chercheurs en sécurité ont examiné de plus près le fonctionnement de CronRAT. Le résultat montre que le cheval de Troie exploite l'outil cron des serveurs Linux. Les administrateurs réseau peuvent l'utiliser pour programmer des tâches à des heures précises, qui sont ensuite exécutées automatiquement. Cet outil réside dans le sous-système de calendrier Linux. Étant donné que le jour où CronRAT doit être exécuté n'existe pas, l'événement n'est pas non plus visible dans le calendrier pour l'administrateur. Étant donné que la plupart des programmes de sécurité n'analysent pas non plus le système cron, le cheval de Troie est pratiquement invisible. Avec Sansec également, le moteur de détection devait d'abord être réécrit avant que le cheval de Troie puisse être détecté.
CronRat - Invisiblement caché dans le calendrier
Une fois sur le serveur, le logiciel malveillant contacte un serveur de commande et de contrôle en utilisant une "fonctionnalité exotique du noyau Linux qui permet la communication TCP sur un fichier", expliquent les chercheurs de Sansec. Dans la deuxième étape, le cheval de Troie envoie et reçoit plusieurs commandes et récupère une bibliothèque dynamique malveillante. À la fin de cet échange, les attaquants derrière CronRAT peuvent exécuter n'importe quelle commande sur le système compromis.
Les
CronRAT n'est qu'un des nombreux exemples de la menace croissante des soi-disant attaques Magecart. Les boutiques en ligne sont manipulées afin de voler les données de paiement des clients. CronRAT a également été découvert dans plusieurs boutiques à travers le monde - et il est loin d'être le seul à essayer de compromettre des boutiques en ligne légitimes de cette manière. Le FBI a publié l'année dernière un avertissement concernant les attaques de Magecart, qui a maintenant été répété par le National Cyber Security Center (NCSC) américain. À l'approche du Black Friday, les experts en sécurité y avaient trouvé 4.151 18 détaillants dont les serveurs et les pages de paiement avaient été compromis par des pirates au cours des XNUMX derniers mois.
Les attaques de Magecart ciblent les magasins en ligne
Même si le Black Friday est maintenant terminé pour cette année, la menace d'attaques Magecart ne va pas diminuer à l'avenir. En particulier, le nombre croissant de cas d'infections à Covid et le Noël à venir devraient garantir que le commerce en ligne continuera de croître dans les semaines et les mois à venir - et avec lui le nombre de cibles potentielles pour les attaques de Magecart. La protection contre les logiciels malveillants hautement spécialisés tels que CronRAT en particulier est difficile car les solutions techniques ne suffisent pas ici. Au service d'analyse de VirusTotal, 12 moteurs antivirus n'ont pas pu traiter le cheval de Troie et 58 d'entre eux ne l'ont pas reconnu comme une menace. Par conséquent, des analyses régulières de l'ensemble du système à la recherche d'irrégularités, aussi insignifiantes soient-elles, doivent être effectuées.
Plus sur 8com.de
À propos de 8com Le 8com Cyber Defense Center protège efficacement les infrastructures numériques des clients de 8com contre les cyberattaques. Il comprend la gestion des informations et des événements de sécurité (SIEM), la gestion des vulnérabilités et des tests de pénétration professionnels. En outre, il propose le développement et l'intégration d'un système de gestion de la sécurité de l'information (ISMS) incluant la certification selon des normes communes. Des mesures de sensibilisation, des formations à la sécurité et la gestion de la réponse aux incidents complètent l'offre.