CronRat è un nuovo Trojan Linux che si nasconde nelle attività pianificate. La data di esecuzione del 31 febbraio ovviamente non è valida, ma molti programmi di sicurezza non la rilevano.
I ricercatori dello specialista della sicurezza e-commerce Sansec hanno scoperto un nuovo Linux Remote Access Trojan (RAT) che ha trovato un modo insolito per nascondersi dalla maggior parte delle applicazioni di sicurezza sui server interessati. CronRAT, come lo chiamano i ricercatori di sicurezza, si maschera da attività pianificata con una data di esecuzione del 31 febbraio. Poiché questa data ovviamente non è valida e non esiste, il malware riesce a sfuggire all'attenzione della maggior parte dei programmi antivirus.
CronRat – Trojan di accesso remoto
I ricercatori di sicurezza hanno esaminato più da vicino come funziona CronRAT. Il risultato mostra che il trojan sfrutta lo strumento cron dei server Linux. Gli amministratori di rete possono utilizzarlo per programmare attività in orari specifici, che vengono poi eseguiti automaticamente. Questo strumento risiede nel sottosistema del calendario di Linux. Poiché il giorno in cui CronRAT dovrebbe essere eseguito non esiste, l'evento non è visibile nel calendario per l'amministratore. Poiché la maggior parte dei programmi di sicurezza non esegue la scansione del sistema cron, il trojan è praticamente invisibile. Anche con Sansec è stato necessario riscrivere il motore di rilevamento prima che il trojan potesse essere rilevato.
CronRat - Invisibilmente nascosto nel calendario
Una volta sul server, il malware contatta un server di comando e controllo utilizzando una "caratteristica esotica del kernel Linux che consente la comunicazione TCP su un file", spiegano i ricercatori di Sansec. Nella seconda fase, il trojan invia e riceve più comandi e recupera una libreria dinamica dannosa. Al termine di questo scambio, gli aggressori dietro CronRAT possono eseguire qualsiasi comando sul sistema compromesso.
CronRAT è solo uno dei tanti esempi della crescente minaccia dei cosiddetti attacchi Magecart. I negozi online vengono manipolati per rubare i dati di pagamento dei clienti. CronRAT è stato anche scoperto in diversi negozi in tutto il mondo ed è tutt'altro che l'unico che cerca di compromettere in questo modo negozi online legittimi. Lo scorso anno l'FBI ha pubblicato un avvertimento sugli attacchi Magecart, che ora è stato ripetuto dall'American National Cyber Security Center (NCSC). Alla vigilia del Black Friday, gli esperti di sicurezza avevano trovato 4.151 rivenditori i cui server e pagine di pagamento erano stati compromessi dagli hacker negli ultimi 18 mesi.
Gli attacchi Magecart prendono di mira i negozi online
Anche se quest'anno il Black Friday è terminato, la minaccia degli attacchi Magecart non diminuirà in futuro. In particolare, il crescente numero di casi di infezione da Covid e l'imminente Natale dovrebbero garantire che il commercio online continuerà a crescere nelle prossime settimane e mesi, e con esso il numero di potenziali bersagli per gli attacchi Magecart. La protezione contro malware altamente specializzati come CronRAT in particolare è difficile perché le soluzioni tecniche non sono sufficienti in questo caso. Al servizio di scansione di VirusTotal, 12 motori antivirus non sono stati in grado di elaborare il trojan e 58 di loro non lo hanno riconosciuto come una minaccia. Pertanto, dovrebbero essere eseguite scansioni regolari dell'intero sistema per le irregolarità, non importa quanto insignificanti possano sembrare.
Altro su 8com.de
Informazioni su 8com Il Cyber Defence Center di 8com protegge efficacemente le infrastrutture digitali dei clienti di 8com dagli attacchi informatici. Include la gestione delle informazioni sulla sicurezza e degli eventi (SIEM), la gestione delle vulnerabilità e i penetration test professionali. Inoltre, offre lo sviluppo e l'integrazione di un sistema di gestione della sicurezza delle informazioni (ISMS) inclusa la certificazione secondo standard comuni. Misure di sensibilizzazione, formazione sulla sicurezza e gestione della risposta agli incidenti completano l'offerta.