El malware furtivo de Linux se esconde detras de los

Los atacantes utilizaron un nuevo enfoque al ocultar el malware magecart en el sistema de calendario de Linux en una fecha no válida, el 31 de febrero.

Apodado CronRAT por los investigadores de ciberseguridad de Sansec, el malware fue descubierto en varias tiendas en línea justo antes de la extravagancia de compras en línea del Black Friday.

“La principal vulnerabilidad de CronRAT es esconderse en el subsistema de calendario de los servidores Linux (‘cron’) en un día inexistente. De esta forma, no atraerá la atención de los administradores del servidor. Y muchos productos de seguridad no escanean el sistema cron de Linux ”, comparten los investigadores.

Sansec afirma haber visto varios casos en los que CronRAT ayudó a los atacantes a inyectar skimmers de pago magecart en el código del lado del servidor en las plataformas de comercio electrónico.

Nuevo enfoque

Sansec explica que los atacantes aprovechan el hecho de que el sistema cron Linux puede programar trabajos para cualquier fecha siempre que tenga un formato válido. Los atacantes utilizan esta «función» para insertar CronRAT en una fecha no válida.

Los investigadores señalan que CronRAT oculta un «programa Bash sofisticado» que utiliza varias técnicas, incluida la autodestrucción, la modulación del tiempo y un protocolo binario personalizado para comunicarse con un servidor de control externo, con el fin de realizar sus actividades maliciosas sin asustar a los administradores.

Una vez lanzado, el malware contacta con el servidor de control utilizando otra «característica exótica» del kernel de Linux que permite la comunicación TCP a través de un archivo. Luego realiza varias acciones para crear una puerta trasera persistente al servidor atacado, lo que esencialmente permite a los operadores de CronRAT ejecutar cualquier código en el servidor.

“El skimming digital se mueve de un navegador a otro y ese es otro ejemplo más. La mayoría de las tiendas en línea solo han implementado defensas basadas en navegador y los delincuentes se aprovechan del back-end desprotegido. Los profesionales de la seguridad realmente deberían considerar toda la superficie de ataque ”, sugiere Willem de Groot, Director de Investigación de Amenazas, Sansec.

Cierre las escotillas con estas mejores aplicaciones y servicios de firewall y asegúrese de que sus computadoras estén protegidas con estas mejores herramientas de protección de endpoints.

Share This