CronRAT si rivolge ai server eCommerce Linux

I sistemi Linux stanno diventando un bersaglio frequente di attacchi informatici. Naturalmente, i sistemi basati su UNIX sono molto più sicuri rispetto a Windows, e non tutti i criminali informatici sono in grado di sviluppare e distribuire tali minacce. Una delle ultime famiglie di malware compatibili con Linux è chiamata CronRAT. Come suggerisce il nome, è un Trojan di accesso remoto. Ma che cosa fa?

Come funziona il CronRAT?

Quando CronRAT si infiltra con successo in un computer, consentirà ai suoi operatori di modificare file specifici sulla macchina infetta. I criminali sembrano prendere di mira principalmente negozi online e utilizzano l'accesso remoto per installare il codice di scrematura nelle pagine di pagamento e pagamento. Sebbene i server dei negozi online siano l'obiettivo principale di CronRAT per ora, è probabile che questo cambi in futuro.

Una delle cose peculiari di questo malware è il modo in cui nasconde il codice e i componenti sulla macchina compromessa. Crea un gran numero di lavori cron : il sistema di pianificazione di Linux. Tuttavia, essi sono tutti pensati per funzionare in una data inesistente - Febbraio ^31. La raccolta dei nomi delle attività pianificate viene infine decifrata per formare uno script complicato, che consente l'esecuzione dei moduli di CronRAT. Il Remote Access Trojan è in grado di operare in modalità fileless, gestire il file system e ricevere comandi remoti dagli aggressori. Sebbene inizialmente fosse in grado di eludere alcuni prodotti antivirus Linux, ora viene rilevato da un gran numero di motori anti-malware. Si consiglia agli amministratori dei server Linux di rafforzare la sicurezza dei propri sistemi utilizzando sempre un'applicazione di sicurezza aggiornata.