CronRAT richt zich op Linux eCommerce-servers

Linux-systemen worden een frequent doelwit van cyberaanvallen. Natuurlijk zijn op UNIX gebaseerde systemen veel veiliger in vergelijking met Windows, en niet alle cybercriminelen zijn in staat om dergelijke bedreigingen te ontwikkelen en in te zetten. Een van de nieuwste Linux-compatibele malwarefamilies heet CronRAT. Zoals de naam al doet vermoeden, is het een Remote Access Trojan. Maar, wat doet het?

Hoe werkt de CronRAT?

Wanneer de CronRAT met succes een computer infiltreert, stelt het de operators in staat om specifieke bestanden op de geïnfecteerde machine te wijzigen. De criminelen lijken zich vooral te richten op online winkels, en ze gebruiken de toegang op afstand om skimming-code te planten op betaal- en afrekenpagina's. Hoewel de servers van online winkels voorlopig het primaire doelwit zijn van de CronRAT, zal dit in de toekomst waarschijnlijk veranderen.

Een van de bijzondere dingen van deze malware is hoe het zijn code en componenten verbergt op de gecompromitteerde machine. Het creëert een groot aantal cron- jobs - het planningssysteem van Linux. Echter, ze zijn allemaal bedoeld om te draaien op een niet-bestaande datum - Februari ^31. De verzameling van de namen van geplande taken wordt uiteindelijk ontcijferd om een ingewikkeld script te vormen, dat de uitvoering van de CronRAT-modules mogelijk maakt. De Remote Access Trojan kan in bestandsloze modus werken, het bestandssysteem beheren en externe opdrachten van de aanvallers ontvangen. Hoewel het aanvankelijk in staat was om bepaalde Linux-antivirusproducten te omzeilen, wordt het nu gedetecteerd door een groot aantal anti-malware-engines. Beheerders van Linux-servers wordt aangeraden de beveiliging van hun systemen te versterken door te allen tijde gebruik te maken van een up-to-date beveiligingsapplicatie.