Threats
O novo remote access trojan CronRAT rouba as credenciais bancárias através de lojas online, utilizando o Cron do Linux para agendar o código malicioso numa data que não existe
02/12/2021
Os analistas de cibersegurança da holandesa Sansec Threat Research descobriram um novo Remote Access Trojan (RAT) para sistemas Linux, apelidado CronRAT. O novo malware esconde a sua atividade maliciosa no dia 31 de fevereiro do Cron, que não existe. Foram identificadas amostras do CronRAT em lojas online e, segundo os especialistas, entre elas há uma das maiores lojas de um país não especificado. O malware, caraterizado pelo engenho e sofisticação, tem a capacidade de roubar dados dos servidores de websites de e-commerce e contornar as soluções de segurança baseadas no browser, ao implementar skimmers de pagamento online nos servidores Linux. Apesar do dia 31 de fevereiro não estar no calendário, o sistema de Cron do Linux aceita a data desde que tenha um formato válido. A capacidade permite que o malware lance vários comandos de ataque para comprometer os servidores de e-commerce no Linux, podendo escapar à deteção das soluções de segurança. O CronRAT tem a capacidade de execução sem ficheiros, modulação de tempo, anti-tampering checksums, é controlado de forma binária com protocol obfuscation, lança tandem RAT separado do subsistema Linux, um servidor de controlo disfarçado de serviço Dropbear SSH e payload escondida em nomes de tarefas legítimos agendados na Cron. |