CronRAT visa servidores de comércio eletrônico Linux

Os sistemas Linux estão se tornando um alvo frequente de ataques cibernéticos. Obviamente, os sistemas baseados em UNIX são muito mais seguros em comparação com o Windows, e nem todos os cibercriminosos são capazes de desenvolver e implantar essas ameaças. Uma das últimas famílias de malware compatível com Linux é chamada de CronRAT. Como o nome sugere, é um Trojan de acesso remoto. Mas o que isso faz?

Como funciona o CronRAT?

Quando o CronRAT se infiltra em um computador com sucesso, ele permite que seus operadores modifiquem arquivos específicos na máquina infectada. Os criminosos parecem ter como alvo principalmente as lojas online e usam o acesso remoto para plantar código de skimming nas páginas de pagamento e checkout. Embora os servidores das lojas online sejam o alvo principal do CronRAT por enquanto, é provável que isso mude no futuro.

Uma das coisas peculiares sobre esse malware é como ele oculta seu código e componentes na máquina comprometida. Ele cria um grande número de cron jobs - o sistema de agendamento do Linux. No entanto, todos eles são feitos para ser executado em uma data inexistente - 31 de fevereiro ^st. A coleção de nomes de tarefas agendadas é eventualmente decifrada para formar um script complicado, que permite a execução dos módulos do CronRAT. O Trojan de acesso remoto é capaz de operar no modo sem arquivo, gerenciar o sistema de arquivos e receber comandos remotos dos atacantes. Embora inicialmente pudesse escapar de certos produtos antivírus Linux, agora é detectado por um grande número de mecanismos antimalware. Os administradores de servidores Linux são aconselhados a fortalecer a segurança de seus sistemas usando um aplicativo de segurança atualizado em todos os momentos.