CronRAT cible les serveurs de commerce électronique Linux

Les systèmes Linux deviennent une cible fréquente de cyberattaques. Bien entendu, les systèmes basés sur UNIX sont beaucoup plus sécurisés que Windows, et tous les cybercriminels ne sont pas capables de développer et de déployer de telles menaces. L'une des dernières familles de logiciels malveillants compatibles Linux est surnommée CronRAT. Comme son nom l'indique, il s'agit d'un cheval de Troie d'accès à distance. Mais, qu'est-ce que ça fait ?

Comment fonctionne le CronRAT ?

Lorsque le CronRAT s'infiltre avec succès dans un ordinateur, il permettra à ses opérateurs de modifier des fichiers spécifiques sur la machine infectée. Les criminels semblent cibler principalement les boutiques en ligne, et ils utilisent l'accès à distance pour insérer du code d'écrémage sur les pages de paiement et de paiement. Bien que les serveurs des magasins en ligne soient la cible principale du CronRAT pour le moment, cela est susceptible de changer à l'avenir.

L'une des particularités de ce malware est la façon dont il cache son code et ses composants sur la machine compromise. Il crée un grand nombre de tâches cron – le système de planification de Linux. Cependant, ils sont tous destinés à fonctionner à une date inexistante - 31 Février ^st. La collection des noms des tâches planifiées est finalement déchiffrée pour former un script compliqué, qui permet l'exécution des modules de CronRAT. Le cheval de Troie d'accès à distance est capable de fonctionner en mode sans fichier, de gérer le système de fichiers et de recevoir des commandes à distance des attaquants. S'il a d'abord réussi à échapper à certains produits antivirus Linux, il est désormais détecté par un grand nombre de moteurs anti-malware. Il est conseillé aux administrateurs de serveurs Linux de renforcer la sécurité de leurs systèmes en utilisant à tout moment une application de sécurité à jour.