Автор: Исследователи безопасности обнаружили новый троян удаленного доступа (RAT) для Linux, который сохраняет почти невидимый профиль, скрываясь в задачах Cron. Вредоносная программа, получившая название CronRAT, в настоящее время нацелена на интернет-магазины и позволяет злоумышленникам красть данные кредитных карт, развертывая скиммеры онлайн-платежей на серверах Linux.
Что касается вредоносного ПО для интернет-магазинов, то CronRAT не может быть обнаружен многими антивирусными программамми.
Исследователи отмечают, что вредоносная программа связывается с сервером управления (C2) (47.115.46.167), используя «экзотическую функцию ядра Linux, которая обеспечивает TCP-связь».
Кроме того, соединение осуществляется по TCP через порт 443 с использованием поддельной службы Dropbear SSH, что также помогает вредоносному ПО оставаться незамеченным. После контакта с сервером, злоумышленники, стоящие за CronRAT, могут выполнить любую команду в скомпрометированной системе.
CronRAT был обнаружен во многих интернет-магазинах по всему миру, воруя данные платежных карт, – так называемые атаки Magecart .
Sansec описывает новое вредоносное ПО как «серьезную угрозу для серверов электронной коммерции» из-за его возможностей:
- Безфайловое исполнение
- Модуляция времени
- Контрольные суммы защиты от взлома
- Управляется двоичным запутанным протоколом
- Запускает RAT в отдельной подсистеме Linux
- Сервер управления, замаскированный под службу «Dropbear SSH»
Все эти особенности делают CronRAT практически незаметным. В службе сканирования VirusTotal 12 антивирусных программ не смогли обработать вредонос, а 58 из них не обнаружили в нем угрозу.
А на этом сегодня все, надеюсь, данная статья будет вам полезна.
Если вам нравится данный проект и вы хотите что бы он процветал, то вы можете поддержать журнал “Cyber-X” перейдя в сооветствующий раздел на сайте.
Журнал Cyber-X
