Start Empfohlen CronRAT ist eine neue Linux-Malware, die am 31. Februar zuschlagen wird

CronRAT ist eine neue Linux-Malware, die am 31. Februar zuschlagen wird

25
0


CronRAT

Ja, Sie haben die Überschrift richtig gelesen; Sicherheitsforscher haben einen heimlichen neuen Remote-Access-Trojaner (RAT) entdeckt, der Linux-Systeme angreifen soll. Die Malware namens CronRAT versteckt sich als geplante Aufgabe und ist so konfiguriert, dass sie an einem nicht vorhandenen Datum ausgeführt wird – dem 31. Februar.

Forscher von Sansec warnen, dass CronRAT „serverseitigen Magecart-Datendiebstahl ermöglicht, der browserbasierte Sicherheitslösungen umgeht“. Das betrifft diesen Black Friday ganz besonders.

Siehe auch:

CronRAT wird als „eine ausgeklügelte Bedrohung mit noch nie dagewesenen Stealth-Techniken“ beschrieben, und Sansec sagt, dass die Art und Weise, wie sie funktioniert, bedeutet, dass sie von anderen Sicherheitsfirmen für einige Zeit nicht erkannt wird.

Das Unternehmen erklärt: „Sansec hat festgestellt, dass CronRAT in mehreren Online-Shops präsent ist, darunter im größten Outlet des Landes. Aufgrund seiner neuartigen Ausführung mussten wir einen Teil unseres eComscan-Algorithmus umschreiben, um ihn zu erkennen. CronRAT wird derzeit von anderen nicht entdeckt Sicherheitsanbieter“.

Die Sicherheitsfirma fährt fort:

Die Hauptleistung von CronRAT ist, sich an einem nicht existierenden Tag im Kalender-Subsystem von Linux-Servern („cron“) zu verstecken. Auf diese Weise erregt es keine Aufmerksamkeit von Serveradministratoren. Und viele Sicherheitsprodukte scannen das Linux-Cron-System nicht.

CronRAT erleichtert die dauerhafte Kontrolle über einen eCommerce-Server. Sansec hat mehrere Fälle untersucht, in denen das Vorhandensein von CronRAT dazu führte, dass Zahlungsskimmer (auch bekannt als Magecart) in den serverseitigen Code eingefügt wurden.

Wenn Sie sich fragen, warum Malware so konfiguriert ist, dass sie an einem Datum ausgeführt wird, das nicht existiert, erklärt Sansec:

Der CronRAT fügt crontab eine Reihe von Aufgaben mit einer merkwürdigen Datumsangabe hinzu: 52 23 31 2 3. Diese Zeilen sind syntaktisch gültig, würden aber bei der Ausführung einen Laufzeitfehler erzeugen. Dies wird jedoch nie passieren, da sie am 31. Februar stattfinden sollen. Stattdessen ist der eigentliche Malware-Code in den Aufgabennamen versteckt und wird mithilfe mehrerer Komprimierungs- und Base64-Decodierungsschichten erstellt.

Die eigentliche Nutzlast von CronRAT ist ein „ausgeklügeltes Bash-Programm, das Selbstzerstörung, Timing-Modulation und ein benutzerdefiniertes Binärprotokoll zur Kommunikation mit einem fremden Kontrollserver bietet“.

Weitere Informationen finden Sie in Sansecs Bericht.

Bildnachweis: Sansec



Vorheriger ArtikelMicrosoft veröffentlicht Update KB5007253, um MSI-Probleme und noch mehr Druckerprobleme in Windows zu beheben
Nächster ArtikelDie besten Windows-Apps dieser Woche

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein