Permite que el malware evite la detección del software de seguridad por la fecha inexistente
Los investigadores han descubierto un nuevo troyano de acceso remoto (RAT) para Linux que emplea una técnica de sigilo nunca antes vista que implica enmascarar sus acciones maliciosas programándolas para su ejecución el 31 de febrero, un día inexistente en el calendario.
Apodado CronRAT, el malware furtivo "permite el robo de datos Magecart del lado del servidor que pasa por alto las soluciones de seguridad basadas en navegador", dijo Sansec Threat Research. La firma holandesa de ciberseguridad dijo que encontró muestras del RAT en varias tiendas en línea, incluida la tienda más grande de un país del cual no dieron el nombre.
La característica más destacada de CronRAT es su capacidad de aprovechar la utilidad de programación de trabajos cron para Unix para ocultar cargas útiles maliciosas utilizando nombres de tareas programadas para ejecutarse el 31 de febrero. Esto no solo permite que el malware evite la detección del software de seguridad, sino que también le permite lanzar una serie de comandos de ataque que podrían poner en riesgo los servidores de comercio electrónico de Linux.
"El CronRAT agrega una serie de tareas a crontab con una curiosa especificación de fecha: 52 23 31 2 3", explicaron los investigadores. "Estas líneas son sintácticamente válidas, pero cuando se ejecuten generarían un error de tiempo de ejecución. Sin embargo, esto nunca sucederá ya que están programadas para ejecutarse el 31 de febrero".
El RAT, un "sofisticado programa de Bash", también utiliza muchos niveles de ofuscación para dificultar el análisis, como colocar código detrás de barreras de codificación y compresión, e implementar un protocolo binario personalizado con sumas de verificación aleatorias para pasar los firewalls y los inspectores de paquetes, antes de establecer comunicaciones con un servidor de control remoto para esperar más instrucciones.
Armados con este acceso de puerta trasera, los atacantes asociados con CronRAT pueden ejecutar cualquier código en el sistema comprometido, anotaron los investigadores.
"El skimming digital se está moviendo del navegador al servidor y este es otro ejemplo", dijo el Director de Investigación de Amenazas de Sansec, Willem de Groot. "La mayoría de las tiendas en línea solo han implementado defensas basadas en navegadores, y los delincuentes aprovechan el back-end desprotegido. Los profesionales de la seguridad realmente deberían considerar la superficie de ataque completa".
