CronRat: il malware Linux si nasconde nel calendario

21. Dicembre 2021
| Non ci sono commenti
Notizie brevi sulla sicurezza informatica B2B

Condividi post

CronRat è un nuovo Trojan Linux che si nasconde nelle attività pianificate. La data di esecuzione del 31 febbraio ovviamente non è valida, ma molti programmi di sicurezza non la rilevano.

I ricercatori dello specialista della sicurezza e-commerce Sansec hanno scoperto un nuovo Linux Remote Access Trojan (RAT) che ha trovato un modo insolito per nascondersi dalla maggior parte delle applicazioni di sicurezza sui server interessati. CronRAT, come lo chiamano i ricercatori di sicurezza, si maschera da attività pianificata con una data di esecuzione del 31 febbraio. Poiché questa data ovviamente non è valida e non esiste, il malware riesce a sfuggire all'attenzione della maggior parte dei programmi antivirus.

CronRat – Trojan di accesso remoto

‍I ricercatori di sicurezza hanno esaminato più da vicino come funziona CronRAT. Il risultato mostra che il trojan sfrutta lo strumento cron dei server Linux. Gli amministratori di rete possono utilizzarlo per programmare attività in orari specifici, che vengono poi eseguiti automaticamente. Questo strumento risiede nel sottosistema del calendario di Linux. Poiché il giorno in cui CronRAT dovrebbe essere eseguito non esiste, l'evento non è visibile nel calendario per l'amministratore. Poiché la maggior parte dei programmi di sicurezza non esegue la scansione del sistema cron, il trojan è praticamente invisibile. Anche con Sansec è stato necessario riscrivere il motore di rilevamento prima che il trojan potesse essere rilevato.

CronRat - Invisibilmente nascosto nel calendario

Una volta sul server, il malware contatta un server di comando e controllo utilizzando una "caratteristica esotica del kernel Linux che consente la comunicazione TCP su un file", spiegano i ricercatori di Sansec. Nella seconda fase, il trojan invia e riceve più comandi e recupera una libreria dinamica dannosa. Al termine di questo scambio, gli aggressori dietro CronRAT possono eseguire qualsiasi comando sul sistema compromesso.

CronRAT è solo uno dei tanti esempi della crescente minaccia dei cosiddetti attacchi Magecart. I negozi online vengono manipolati per rubare i dati di pagamento dei clienti. CronRAT è stato anche scoperto in diversi negozi in tutto il mondo ed è tutt'altro che l'unico che cerca di compromettere in questo modo negozi online legittimi. Lo scorso anno l'FBI ha pubblicato un avvertimento sugli attacchi Magecart, che ora è stato ripetuto dall'American National Cyber ​​​​Security Center (NCSC). Alla vigilia del Black Friday, gli esperti di sicurezza avevano trovato 4.151 rivenditori i cui server e pagine di pagamento erano stati compromessi dagli hacker negli ultimi 18 mesi.

Gli attacchi Magecart prendono di mira i negozi online

Anche se quest'anno il Black Friday è terminato, la minaccia degli attacchi Magecart non diminuirà in futuro. In particolare, il crescente numero di casi di infezione da Covid e l'imminente Natale dovrebbero garantire che il commercio online continuerà a crescere nelle prossime settimane e mesi, e con esso il numero di potenziali bersagli per gli attacchi Magecart. La protezione contro malware altamente specializzati come CronRAT in particolare è difficile perché le soluzioni tecniche non sono sufficienti in questo caso. Al servizio di scansione di VirusTotal, 12 motori antivirus non sono stati in grado di elaborare il trojan e 58 di loro non lo hanno riconosciuto come una minaccia. Pertanto, dovrebbero essere eseguite scansioni regolari dell'intero sistema per le irregolarità, non importa quanto insignificanti possano sembrare.

Altro su 8com.de

 

Informazioni su 8com

Il Cyber ​​Defence Center di 8com protegge efficacemente le infrastrutture digitali dei clienti di 8com dagli attacchi informatici. Include la gestione delle informazioni sulla sicurezza e degli eventi (SIEM), la gestione delle vulnerabilità e i penetration test professionali. Inoltre, offre lo sviluppo e l'integrazione di un sistema di gestione della sicurezza delle informazioni (ISMS) inclusa la certificazione secondo standard comuni. Misure di sensibilizzazione, formazione sulla sicurezza e gestione della risposta agli incidenti completano l'offerta.

 

Articoli relativi all'argomento

Rapporto: 40% di phishing in più in tutto il mondo

L’attuale rapporto su spam e phishing di Kaspersky per il 2023 parla da solo: gli utenti in Germania sono alla ricerca ➡ Leggi di più

BSI stabilisce gli standard minimi per i browser web

La BSI ha rivisto lo standard minimo per i browser web per l'amministrazione e ha pubblicato la versione 3.0. Puoi ricordartelo ➡ Leggi di più

Il malware invisibile prende di mira le aziende europee

Gli hacker stanno attaccando molte aziende in tutta Europa con malware invisibili. I ricercatori ESET hanno segnalato un drammatico aumento dei cosiddetti attacchi AceCryptor tramite ➡ Leggi di più

Sicurezza informatica: base per LockBit 4.0 disinnescata

Trend Micro, in collaborazione con la National Crime Agency (NCA) del Regno Unito, ha analizzato la versione inedita che era in fase di sviluppo ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Test: software di sicurezza per endpoint e singoli PC

Gli ultimi risultati dei test del laboratorio AV-TEST mostrano ottime prestazioni di 16 soluzioni di protezione affermate per Windows ➡ Leggi di più

FBI: Internet Crime Report conta 12,5 miliardi di dollari di danni 

L'Internet Crime Complaint Center (IC3) dell'FBI ha pubblicato il suo Internet Crime Report 2023, che include informazioni provenienti da oltre 880.000 persone ➡ Leggi di più

HeadCrab 2.0 scoperto

La campagna HeadCrab contro i server Redis, attiva dal 2021, continua a infettare con successo gli obiettivi con la nuova versione. Il miniblog dei criminali ➡ Leggi di più

Brevi notizie
, , , , ,