CronRAT apunta a servidores de comercio electrónico Linux

Los sistemas Linux se están convirtiendo en un objetivo frecuente de ciberataques. Por supuesto, los sistemas basados en UNIX son mucho más seguros en comparación con Windows, y no todos los ciberdelincuentes pueden desarrollar e implementar tales amenazas. Una de las últimas familias de malware compatible con Linux se denomina CronRAT. Como sugiere su nombre, es un troyano de acceso remoto. ¿Pero, qué hace?

¿Cómo funciona CronRAT?

Cuando el CronRAT se infiltra con éxito en una computadora, permitirá a sus operadores modificar archivos específicos en la máquina infectada. Los delincuentes parecen apuntar principalmente a las tiendas en línea, y utilizan el acceso remoto para plantar el código de skimming en las páginas de pago y pago. Aunque los servidores de las tiendas en línea son el objetivo principal de CronRAT por ahora, es probable que esto cambie en el futuro.

Una de las cosas peculiares de este malware es cómo oculta su código y componentes en la máquina comprometida. Crea una gran cantidad de trabajos cron : el sistema de programación de Linux. Sin embargo, todos ellos están diseñados para funcionar en una fecha inexistente - Febrero ^31. La colección de los nombres de las tareas programadas finalmente se descifra para formar un script complicado, que permite la ejecución de los módulos de CronRAT. El troyano de acceso remoto puede operar en modo sin archivos, administrar el sistema de archivos y recibir comandos remotos de los atacantes. Aunque inicialmente pudo evadir ciertos productos antivirus de Linux, ahora es detectado por una gran cantidad de motores anti-malware. Se recomienda a los administradores de servidores Linux que refuercen la seguridad de sus sistemas utilizando una aplicación de seguridad actualizada en todo momento.