CronRAT нацелен на серверы электронной коммерции Linux

Системы Linux становятся частой целью кибератак. Конечно, системы на основе UNIX намного безопаснее по сравнению с Windows, и не все киберпреступники способны разрабатывать и развертывать такие угрозы. Одно из последних семейств вредоносных программ, совместимых с Linux, называется CronRAT. Как следует из названия, это троян для удаленного доступа. Но что он делает?

Как работает CronRAT?

Когда CronRAT успешно проникает на компьютер, он позволяет операторам изменять определенные файлы на зараженной машине. Преступники, похоже, нацелены в основном на интернет-магазины, и они используют удаленный доступ для размещения кода снятия скимминга на страницах оплаты и оформления заказа. Хотя серверы интернет-магазинов на данный момент являются основной целью CronRAT, это, вероятно, изменится в будущем.

Одна из особенностей этой вредоносной программы - то, как она скрывает свой код и компоненты на скомпрометированной машине. Он создает большое количество заданий cron - системы расписания Linux. Тем не менее, все они предназначены для запуска на несуществующую дату - 31 февраля ^ст. Набор имен запланированных задач в конечном итоге расшифровывается, чтобы сформировать сложный скрипт, который позволяет выполнять модули CronRAT. Троянец удаленного доступа может работать в безфайловом режиме, управлять файловой системой и получать удаленные команды от злоумышленников. Хотя изначально он мог обходить некоторые антивирусные продукты Linux, теперь он обнаруживается большим количеством механизмов защиты от вредоносных программ. Администраторам серверов Linux рекомендуется усилить безопасность своих систем, постоянно используя новейшее приложение безопасности.