CronRAT zielt auf Linux-eCommerce-Server ab

Linux-Systeme werden zu einem häufigen Ziel von Cyberangriffen. Natürlich sind UNIX-basierte Systeme im Vergleich zu Windows viel sicherer, und nicht alle Cyberkriminellen sind in der Lage, solche Bedrohungen zu entwickeln und einzusetzen. Eine der neuesten Linux-kompatiblen Malware-Familien heißt CronRAT. Wie der Name schon sagt, handelt es sich um einen Remote-Access-Trojaner. Aber was macht es?

Wie funktioniert die CronRAT?

Wenn CronRAT einen Computer erfolgreich infiltriert, ermöglicht es seinen Bedienern, bestimmte Dateien auf dem infizierten Computer zu ändern. Die Kriminellen scheinen hauptsächlich Online-Shops ins Visier zu nehmen und nutzen den Fernzugriff, um Skimming-Codes auf Bezahl- und Checkout-Seiten einzufügen. Obwohl die Server von Online-Shops vorerst das primäre Ziel der CronRAT sind, wird sich dies in Zukunft wahrscheinlich ändern.

Eine der Besonderheiten dieser Malware ist, wie sie ihren Code und ihre Komponenten auf dem kompromittierten Computer versteckt. Es erstellt eine große Anzahl von Cron- Jobs – dem Scheduling-System von Linux. Aber sie sind alle gemeint , auf einem nicht existierendes Datum laufen - 31. Februar ^st. Die Sammlung der Namen geplanter Aufgaben wird schließlich zu einem komplizierten Skript entschlüsselt, das die Ausführung der Module des CronRAT ermöglicht. Der Remote-Access-Trojaner kann im dateilosen Modus arbeiten, das Dateisystem verwalten und Remote-Befehle von den Angreifern empfangen. Obwohl es zunächst bestimmte Linux-Antivirus-Produkte umgehen konnte, wird es heute von einer großen Anzahl von Anti-Malware-Engines erkannt. Administratoren von Linux-Servern wird empfohlen, die Sicherheit ihrer Systeme durch den Einsatz einer stets aktuellen Sicherheitsanwendung zu erhöhen.