CronRat é um novo Trojan do Linux que se esconde nas tarefas agendadas. A data de execução de 31 de fevereiro é obviamente inválida, mas muitos programas de segurança não a detectam.
Pesquisadores da Sansec, especialista em segurança de comércio eletrônico, descobriram um novo Trojan de acesso remoto (RAT) do Linux que encontrou uma maneira incomum de se esconder da maioria dos aplicativos de segurança nos servidores afetados. O CronRAT, como os pesquisadores de segurança o chamam, se disfarça como uma tarefa agendada com data de execução em 31 de fevereiro. Como essa data é obviamente inválida e não existe, o malware consegue escapar da atenção da maioria dos programas antivírus.
CronRat – Trojan de acesso remoto
Os pesquisadores de segurança analisaram mais de perto como o CronRAT funciona. O resultado mostra que o Trojan explora a ferramenta cron dos servidores Linux. Os administradores de rede podem usá-lo para agendar tarefas em horários específicos, que são executados automaticamente. Essa ferramenta reside no subsistema de calendário do Linux. Como não existe o dia em que o CronRAT deve ser executado, o evento também não é visível no calendário do admin. Como a maioria dos programas de segurança também não verifica o sistema cron, o Trojan é quase invisível. Também com o Sansec, o mecanismo de detecção primeiro teve que ser reescrito antes que o Trojan pudesse ser detectado.
CronRat - Invisivelmente escondido no calendário
Uma vez no servidor, o malware entra em contato com um servidor de comando e controle usando um "recurso exótico do kernel do Linux que permite a comunicação TCP em um arquivo", explicam os pesquisadores da Sansec. Na segunda etapa, o Trojan envia e recebe vários comandos e recupera uma biblioteca dinâmica maliciosa. Ao final dessa troca, os invasores por trás do CronRAT podem executar qualquer comando no sistema comprometido.
O CronRAT é apenas um dos muitos exemplos da crescente ameaça dos chamados ataques Magecart. As lojas online são manipuladas para roubar os dados de pagamento dos clientes. O CronRAT também foi descoberto em várias lojas ao redor do mundo - e está longe de ser o único a tentar comprometer lojas online legítimas dessa maneira. O FBI publicou um alerta sobre ataques de Magecart no ano passado, que agora foi repetido pelo American National Cyber Security Center (NCSC). No período que antecedeu a Black Friday, especialistas em segurança encontraram 4.151 varejistas cujos servidores e páginas de checkout foram comprometidos por hackers nos últimos 18 meses.
Magecart ataca lojas online
Embora a Black Friday tenha acabado para este ano, a ameaça de ataques de Magecart não diminuirá no futuro. Em particular, o número crescente de casos de infecções por Covid e o próximo Natal devem garantir que o comércio online continue a crescer nas próximas semanas e meses - e com ele o número de alvos potenciais para ataques de Magecart. A proteção contra malware altamente especializado, como o CronRAT em particular, é difícil porque as soluções técnicas não são suficientes aqui. No serviço de varredura VirusTotal, 12 mecanismos antivírus não conseguiram processar o Trojan e 58 deles não o reconheceram como uma ameaça. Portanto, verificações regulares de todo o sistema em busca de irregularidades, por mais insignificantes que possam parecer, devem ser realizadas.
Mais em 8com.de
Sobre 8com O 8com Cyber Defense Center protege efetivamente as infraestruturas digitais dos clientes da 8com contra ataques cibernéticos. Inclui informações de segurança e gerenciamento de eventos (SIEM), gerenciamento de vulnerabilidades e testes de penetração profissionais. Além disso, oferece o desenvolvimento e integração de um Sistema de Gestão de Segurança da Informação (ISMS) incluindo certificação de acordo com padrões comuns. Medidas de conscientização, treinamento de segurança e gerenciamento de resposta a incidentes completam a oferta.