28 nov 2021

CronRAT: malware Magecart para Linux programa sus tareas para el 31 de febrero

Investigadores de la firma holandesa Sansec Threat Research han descubierto un nuevo troyano de acceso remoto (RAT) para Linux que emplea una técnica de sigilo nunca antes vista que implica enmascarar sus acciones maliciosas programándolas para su ejecución el 31 de febrero, un día calendario inexistente.

Apodado CronRAT, el malware furtivo "permite el robo de datos Magecart del lado del servidor y pasa por alto las soluciones de seguridad basadas en navegador", dijeron los investigadores. La firma dijo que encontró muestras de la RAT en varias tiendas en línea, incluida la tienda más grande de un país sin nombre.

La característica más destacada de CronRAT es su capacidad de aprovechar la utilidad de programación de trabajos cron para Unix para ocultar cargas útiles maliciosas utilizando nombres de tareas programadas para ejecutarse el 31 de febrero. Esto no solo permite que el malware evite la detección del software de seguridad, sino que también le permite lanzar una serie de comandos de ataque que podrían poner en riesgo los servidores de comercio electrónico de Linux.

"El CronRAT agrega una serie de tareas a crontab con una curiosa especificación de fecha: 52 23 31 2 3", explicaron los investigadores. "Estas líneas son sintácticamente válidas, pero generarían un error de tiempo de ejecución cuando se ejecutaran. Sin embargo, esto nunca sucederá ya que están programadas para ejecutarse el 31 de febrero. En cambio, el código de malware real está oculto en los nombres de las tareas y se construye utilizando varias capas de compresión y decodificación base64".

El RAT, un "programa Bash sofisticado", también utiliza muchos niveles de ofuscación para dificultar el análisis, como comprimir y codificar el código e implementar un protocolo binario personalizado con sumas de verificación aleatorias para pasar los firewalls y los inspectores de paquetes, antes de establecer comunicaciones con un servidor de control remoto para esperar instrucciones adicionales.

Las capacidades de sigilo de CronRAT representan una seria amenaza para los servidores de comercio electrónico de Linux:

  • Ejecución sin archivos
  • Modulación de tiempo
  • Sumas de comprobación anti-manipulación
  • Controlado a través de un protocolo binario ofuscado
  • Lanza RAT en tándem en un subsistema de Linux separado
  • Servidor de control disfrazado de servicio "Dropbear SSH"
  • Carga útil oculta en nombres legítimos de tareas programadas de CRON

Armados con este acceso de puerta trasera, los atacantes asociados con CronRAT pueden ejecutar cualquier código en el sistema comprometido. "El skimming digital se está moviendo del navegador al servidor y este es otro ejemplo", dijo el Director de Investigación de Amenazas de Sansec, Willem de Groot. "La mayoría de las tiendas en línea solo han implementado defensas basadas en navegador, y los delincuentes aprovechan el back-end desprotegido. Los profesionales de seguridad realmente deberían considerar la superficie de ataque completa".

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!