29/11/21
Исследователи в области кибербезопасности из Sansec Threat Research обнаружили новый троян для удаленного доступа для систем под управлением Linux, в котором используется невиданный ранее метод скрытности. Вредоносное ПО маскирует свои вредоносные действия путем планирования их выполнения на 31 февраля — в несуществующий календарный день.
Вредоносная программа, получившая название CronRAT, позволяет похищать данные сайтов электронной коммерции на стороне сервера в обход браузерных решений безопасности. Эксперты обнаружили образцы RAT в нескольких интернет-магазинах, в том числе в крупнейшем магазине неуказанной страны.
Отличительной особенностью CronRAT является его способность использовать утилиту cron job-scheduler для Unix для сокрытия вредоносных полезных данных с помощью имен задач, запрограммированных для выполнения на 31 февраля. Это не только позволяет вредоносному ПО уклоняться от обнаружения защитными решениями, но также позволяет запускать ряд атакующих команд, которые могут поставить под угрозу серверы электронной коммерции под управлением Linux.
В большинстве интернет-магазинов реализована защита только на основе браузера, и злоумышленники извлекают выгоду из незащищенного внутреннего сервера. Специалистам по безопасности следует учитывать всю поверхность атаки, отметили в Sansec Threat Research.
«CronRAT добавляет в crontab ряд задач с любопытной спецификацией даты: 52 23 31 2 3. Эти строки синтаксически верны, но при выполнении будут генерировать ошибку времени выполнения. Однако этого никогда не произойдет, поскольку их запуск запланирован на 31 февраля, — пояснили эксперты.
