CronRAT riktar sig till Linux e-handelsservrar

Linux-system blir ett vanligt mål för cyberattacker. Naturligtvis är UNIX-baserade system mycket säkrare jämfört med Windows, och det är inte alla cyberbrottslingar som kan utveckla och distribuera sådana hot. En av de senaste Linux-kompatibla malwarefamiljerna kallas CronRAT. Som namnet antyder är det en fjärråtkomsttrojan. Men vad gör det?

Hur går CronRAT?

När CronRAT infiltrerar en dator framgångsrikt kommer den att göra det möjligt för dess operatörer att ändra specifika filer på den infekterade maskinen. Brottslingarna verkar mest rikta sig mot onlinebutiker och de använder fjärråtkomst för att plantera skumningskod på betalnings- och kassasidor. Även om servrarna för onlinebutiker är det primära målet för CronRAT för närvarande, kommer detta sannolikt att förändras i framtiden.

En av de märkliga sakerna med denna skadliga programvara är hur den döljer sin kod och komponenter på den komprometterade maskinen. Det skapar ett stort antal cron- jobb – Linuxs schemaläggningssystem. Men de är alla avsedda att köras på en obefintlig datum - 31 februari ^st. Samlingen av namnen på schemalagda uppgifter dechiffreras så småningom för att bilda ett komplicerat skript, som möjliggör exekvering av CronRAT:s moduler. Fjärråtkomsttrojanen kan fungera i fillöst läge, hantera filsystemet och ta emot fjärrkommandon från angriparna. Även om det från början kunde undvika vissa Linux-antivirusprodukter, upptäcks det nu av ett stort antal anti-malware-motorer. Administratörer av Linux-servrar rekommenderas att stärka säkerheten för sina system genom att alltid använda en uppdaterad säkerhetsapplikation.