Novo malware Linux se esconde em cron jobs com datas inválidas

Pesquisadores de segurança descobriram um novo trojan de acesso remoto (RAT) para Linux que mantém um perfil quase invisível ao se esconder em tarefas agendadas para execução em um dia inexistente, 31 de fevereiro.

Chamado de CronRAT, o malware atualmente tem como alvo lojas da web e permite que invasores roubem dados de cartão de crédito implantando skimmers de pagamento online em servidores Linux.

Leia mais:

Como limpar logs de datas específicas via Powershell
Malware rouba as informações de preenchimento automático do navegador
8 sites para melhorar sua habilidade em programação
Introdução ao básico de Powershell para iniciantes
DevOps!?!?!?!

Caracterizado pela engenhosidade e sofisticação, no que diz respeito ao malware para lojas online, o CronRAT não é detectado por muitos mecanismos antivírus.

Esconderijo inteligente para Payloads

O CronRAT abusa do sistema de agendamento de tarefas do Linux, cron, que permite que tarefas de agendamento sejam executadas em dias inexistentes do calendário, como 31 de fevereiro.

O sistema cron Linux aceita especificações de data desde que tenham um formato válido, mesmo se o dia não existir no calendário – o que significa que a tarefa agendada não será executada.

É com isso que o CronRAT depende para conseguir sua furtividade. Um relatório hoje da empresa holandesa de segurança cibernética Sansec explica que ele esconde um “programa Bash sofisticado” nos nomes das tarefas agendadas.

“O CronRAT adiciona uma série de tarefas ao crontab com uma curiosa especificação de data: 52 23 31 2 3. Essas linhas são sintaticamente válidas, mas gerariam um erro de tempo de execução quando executadas. No entanto, isso nunca vai acontecer, pois a execução está programada para 31 de fevereiro ”, explicam os pesquisadores da Sansec .

As cargas úteis são ofuscadas por meio de várias camadas de compactação e codificação Base64. Limpo, o código inclui comandos para autodestruição, modulação de tempo e um protocolo personalizado que permite a comunicação com um servidor remoto.

Carga útil do CronRAT Bash oculta na tarefa cron por dia inexistente
CronRAT - extração da carga útil do Bash oculta no nome da tarefa cron

Os pesquisadores observam que o malware entra em contato com um servidor de comando e controle (C2) (47.115.46.167) usando um “recurso exótico do kernel do Linux que permite a comunicação TCP por meio de um arquivo”.

Além disso, a conexão é feita por TCP via porta 443 usando um banner falso para o serviço SSH Dropbear, que também ajuda o malware a ficar sob o radar.

Após entrar em contato com o servidor C2, o disfarce cai, envia e recebe vários comandos e obtém uma biblioteca dinâmica maliciosa. No final dessas trocas, os invasores por trás do CronRAT podem executar qualquer comando no sistema comprometido.

O CronRAT foi encontrado em várias lojas em todo o mundo, onde foi usado para injetar no servidor scripts que roubam dados de cartões de pagamento – os chamados ataques Magecart .

A Sansec descreve o novo malware como “uma séria ameaça aos servidores de comércio eletrônico Linux”, devido aos seus recursos:

  • Execução sem arquivo
  • Modulação de tempo
  • Somas de verificação anti-adulteração
  • Controlado por protocolo binário ofuscado
  • Lança RAT tandem em subsistema Linux separado
  • Servidor de controle disfarçado de serviço “Dropbear SSH”
  • Carga útil oculta em nomes legítimos de tarefas agendadas CRON

Todos esses recursos tornam o CronRAT virtualmente indetectável. No serviço de varredura VirusTotal, 12 mecanismos antivírus não conseguiram processar o arquivo malicioso e 58 deles não o detectaram como uma ameaça.

CronRAT não detectado no VirusTotal

Sansec observa que a nova técnica de execução do CronRAT também contornou seu algoritmo de detecção,  eComscan , e os pesquisadores tiveram que reescrevê-lo para capturar a nova ameaça.

Fonte: Bleeping Computer

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!