Вредоносное программное обеспечение для Linux прячется в заданиях Cron

Исследователи безопасности обнаружили новый троян удаленного доступа (RAT) для Linux, который сохраняет почти невидимый профиль, скрываясь в задачах Cron. Вредоносная программа, получившая название CronRAT, в настоящее время нацелена на интернет-магазины и позволяет злоумышленникам красть данные кредитных карт, развертывая скиммеры онлайн-платежей на серверах Linux.

Что касается вредоносного ПО для интернет-магазинов, то CronRAT не может быть обнаружен многими антивирусными программамми.

Исследователи отмечают, что вредоносная программа связывается с сервером управления (C2) (47.115.46.167), используя функцию ядра Linux, которая обеспечивает TCP-связь.

Кроме того, соединение осуществляется по TCP через порт 443 с использованием поддельной службы Dropbear SSH, что также помогает вредоносному ПО оставаться незамеченным. После контакта с сервером, злоумышленники, стоящие за CronRAT, могут выполнить любую команду в скомпрометированной системе.

CronRAT был обнаружен во многих интернет-магазинах по всему миру, воруя данные платежных карт, – так называемые атаки Magecart .

Sansec описывает новое вредоносное ПО как «серьезную угрозу для серверов электронной коммерции» из-за его возможностей:

  • Безфайловое исполнение
  • Модуляция времени
  • Контрольные суммы защиты от взлома
  • Управляется двоичным запутанным протоколом
  • Запускает RAT в отдельной подсистеме Linux
  • Сервер управления, замаскированный под службу «Dropbear SSH»

Все эти особенности делают CronRAT практически незаметным. В службе сканирования VirusTotal 12 антивирусных программ не смогли обработать вредонос, а 58 из них не обнаружили в нем угрозу.

А на этом сегодня все, надеюсь, данная статья будет вам полезна.
Если вам нравится данный проект и вы хотите что бы он процветал, то вы можете поддержать журнал “Cyber-X” перейдя в сооветствующий раздел на сайте.
Журнал Cyber-X

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *