Nuevo malware de Linux acecha en trabajos cron con fechas no válidas

Los investigadores de seguridad han descubierto un nuevo troyano de acceso remoto (RAT) para Linux que mantiene un perfil casi invisible al esconderse en tareas programadas para ejecutarse en un día inexistente, el 31 de febrero.

Apodado CronRAT, el malware se dirige actualmente a las tiendas web y permite a los atacantes robar datos de tarjetas de crédito mediante la implementación de skimmers de pago en línea en servidores Linux.

Con ingenio y sofisticación cuando se trata de malware para tiendas en línea, CronRAT no es detectado por muchos motores antivirus.

Escondite inteligente para cargas útiles

CronRAT abusa del sistema de programación de tareas de Linux, cron, que permite que las tareas de programación se ejecuten en días naturales inexistentes, como el 31 de febrero.

El sistema cron de Linux acepta especificaciones de fecha siempre que tengan un formato válido, incluso si el día no existe en el calendario, lo que significa que la tarea programada no se ejecutará.

En esto se basa CronRAT para lograr su sigilo. Un informe de hoy de la firma holandesa de ciberseguridad Sansec explica que esconde un "sofisticado programa Bash" en los nombres de sus tareas programadas.

“CronRAT agrega una serie de tareas a crontab con una curiosa especificación de fecha: 52 23 31 2 3. Estas líneas son sintácticamente válidas, pero generarían un error en tiempo de ejecución al ejecutarse. Sin embargo, esto nunca sucederá ya que están programados para ejecutarse el 31 de febrero ”, explican los investigadores de Sansec.

Carga útil de CronRAT oculta en la actividad cron durante un día inexistente

Las cargas útiles se ocultan a través de varias capas de compresión y codificación Base64. Limpio, el código incluye comandos de autodestrucción, modulación de tiempo y un protocolo personalizado que permite la comunicación con un servidor remoto.

Los investigadores señalan que el malware se pone en contacto con un servidor de comando y control (C2) (47.115.46.167) utilizando una "característica exótica del kernel de Linux que permite la comunicación TCP a través de un archivo".

Además, la conexión se realiza a través de TCP a través del puerto 443 utilizando un banner falso para el servicio Dropbear SSH, que también ayuda al malware a permanecer bajo el radar.

Después de contactar con el servidor C2, el disfraz cae, envía y recibe varios comandos y obtiene una biblioteca dinámica maliciosa. Al final de estos intercambios, los atacantes detrás de CronRAT pueden ejecutar cualquier comando en el sistema comprometido.

CronRAT se encontró en varias tiendas de todo el mundo, donde se utilizó para inyectar scripts que roban datos de tarjetas de pago, los llamados ataques Magecart, en el servidor.

Sansec describe el nuevo malware como "una seria amenaza para los servidores de comercio electrónico Linux", debido a sus capacidades:

  • Ejecutando sin archivos
  • Modulación de tiempo
  • Suma de control anti-manipulación
  • Controlado mediante protocolo binario y ofuscado
  • Inicie RAT en conjunto en un subsistema Linux separado
  • Servidor de control disfrazado de servicio "Dropbear SSH"
  • Carga útil oculta en nombres legítimos de tareas programadas de CRON

Todas estas características hacen que CronRAT sea prácticamente indetectable. En el servicio de análisis VirusTotal, 12 motores antivirus no pudieron procesar el archivo malicioso y 58 de ellos no lo detectaron como una amenaza.

CronRAT no detectado en VirusTotal

Sansec señala que la nueva técnica de ejecución de CronRAT también pasó por alto su algoritmo de detección, eComscan, y los investigadores tuvieron que reescribirlo para detectar la nueva amenaza.

¿Qué te ha parecido?
Subir