Threats

Atividade de novo malware Linux esconde-se no dia 31 de fevereiro

O novo remote access trojan CronRAT rouba as credenciais bancárias através de lojas online, utilizando o Cron do Linux para agendar o código malicioso numa data que não existe

02/12/2021

Atividade de novo malware Linux esconde-se no dia 31 de fevereiro

Os analistas de cibersegurança da holandesa Sansec Threat Research descobriram um novo Remote Access Trojan (RAT) para sistemas Linux, apelidado CronRAT. O novo malware esconde a sua atividade maliciosa no dia 31 de fevereiro do Cron, que não existe. Foram identificadas amostras do CronRAT em lojas online e, segundo os especialistas, entre elas há uma das maiores lojas de um país não especificado. 

O malware, caraterizado pelo engenho e sofisticação, tem a capacidade de roubar dados dos servidores de websites de e-commerce e contornar as soluções de segurança baseadas no browser, ao implementar skimmers de pagamento online nos servidores Linux. Apesar do dia 31 de fevereiro não estar no calendário, o sistema de Cron do Linux aceita a data desde que tenha um formato válido. 

A capacidade permite que o malware lance vários comandos de ataque para comprometer os servidores de e-commerce no Linux, podendo escapar à deteção das soluções de segurança. 
"O CronRAT adiciona uma série de tarefas à Crontab com uma curiosa especificação de data: 52 23 31 2 3. Estas linhas são sintaticamente válidas, mas gerariam um erro de tempo de execução quando executadas. Contudo, isso nunca vai acontecer uma vez que estão agendados para 31 de fevereiro”, explicam os analistas da Sansec.

O CronRAT tem a capacidade de execução sem ficheiros, modulação de tempo, anti-tampering checksums, é controlado de forma binária com protocol obfuscation, lança tandem RAT separado do subsistema Linux, um servidor de controlo disfarçado de serviço Dropbear SSH e payload escondida em nomes de tarefas legítimos agendados na Cron.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.