CronRAT atakuje serwery handlu elektronicznego w systemie Linux

Systemy Linux stają się częstym celem cyberataków. Oczywiście systemy oparte na UNIX są znacznie bezpieczniejsze w porównaniu z Windows i nie wszyscy cyberprzestępcy są w stanie tworzyć i wdrażać takie zagrożenia. Jedna z najnowszych rodzin szkodliwego oprogramowania kompatybilnego z Linuksem nosi nazwę CronRAT. Jak sama nazwa wskazuje, jest to trojan zdalnego dostępu. Ale co to robi?

Jak działa CronRAT?

Gdy CronRAT pomyślnie zinfiltruje komputer, umożliwi jego operatorom modyfikację określonych plików na zainfekowanej maszynie. Wydaje się, że przestępcy atakują głównie sklepy internetowe i wykorzystują zdalny dostęp do umieszczania kodu skimmingu na stronach płatności i kas. Chociaż serwery sklepów internetowych są na razie głównym celem CronRAT, prawdopodobnie zmieni się to w przyszłości.

Jedną z osobliwych cech tego złośliwego oprogramowania jest sposób, w jaki ukrywa on swój kod i komponenty na zaatakowanej maszynie. Tworzy dużą liczbę zadań cron – system planowania Linux. Jednak wszystkie one są przeznaczone do uruchomienia na nieistniejącą datę - ³¹ lutego. Zbiór nazw zaplanowanych zadań jest ostatecznie rozszyfrowywany w celu utworzenia skomplikowanego skryptu, który umożliwia wykonanie modułów CronRAT. Trojan zdalnego dostępu potrafi działać w trybie bezplikowym, zarządzać systemem plików i odbierać zdalne polecenia od atakujących. Chociaż początkowo był w stanie obejść niektóre produkty antywirusowe dla Linuksa, teraz jest wykrywany przez dużą liczbę silników antywirusowych. Administratorom serwerów z systemem Linux zaleca się wzmacnianie bezpieczeństwa swoich systemów poprzez stałe używanie aktualnej aplikacji zabezpieczającej.