Licencias para múltiples dispositivos (descuentos por volumen)
Threat Database Remote Administration Tools CronRAT

CronRAT

Por Mezo en Remote Administration Tools
Traducir a:
Español

Los investigadores de una empresa holandesa de ciberseguridad han identificado una sofisticada amenaza de malware que emplea técnicas innovadoras para enmascarar sus nefastas acciones. Con el nombre de CronRAT, la amenaza se clasifica como un troyano de acceso remoto (RAT). Se dirige a las tiendas web y proporciona a los atacantes los medios para inyectar skimmers de pagos en línea en los servidores Linux comprometidos. En última instancia, el objetivo de los piratas informáticos es obtener datos de tarjetas de crédito que luego puedan explotarse. Las numerosas técnicas de evasión empleadas por la amenaza la hacen casi indetectable.

Detalles técnicos

La característica sobresaliente de CronRAT es la forma en que abusa del sistema de programación de tareas de Linux (cron) para ocultar un sofisticado programa Bash. El malware inyecta varias tareas en crontab que tienen un formato válido para que el sistema las acepte. Estas tareas darán como resultado un error de tiempo de ejecución cuando se ejecuten, pero eso no sucederá porque están programadas para ejecutarse en fechas inexistentes, como el 31 de febrero. El código dañado de la amenaza está oculto en los nombres de estas tareas programadas.

Después de eliminar varios niveles de ofuscación, los investigadores de infosec pudieron descubrir comandos de autodestrucción, modificaciones de tiempo y un protocolo personalizado para la comunicación con el servidor de comando y control de los atacantes (C2, C&C). El contacto con el servidor remoto se logra a través de una característica oscura del kernel de Linux que permite las comunicaciones TCP a través de un archivo. Además, la conexión se realiza a través de TCP a través del puerto 443 que pretende ser un servicio Dropbear SSH. En última instancia, los atacantes podrán ejecutar comandos arbitrarios en los sistemas violados.

Conclusión

CronRAT se considera una amenaza grave para los servidores de comercio electrónico de Linux debido a sus capacidades amenazadoras. La amenaza tiene técnicas de detección y evasión, como la ejecución sin archivos, la modulación de tiempo, el uso de un protocolo binario ofuscado, el uso de nombres legítimos de tareas programadas CRON para ocultar cargas útiles y más. En la práctica, es prácticamente indetectable y es posible que deban implementarse medidas especiales para proteger sus servidores Linux específicos.

Tendencias

Mas Visto

Cargando...