Зловред CronRat Magecart использует несуществующую дату 31 февраля для маскировки
Зловред CronRat Magecart использует несуществующую дату 31 февраля для маскировки. Фото: cottonbro, Pexels
Как сообщают в Sansec, вредоносная программа, получившая название CronRat, скрывается в подсистеме календаря серверов Linux («cron») в несуществующий день, 31 февраля.
Исследователи заявили, что CronRat «крадёт данные Magecart на стороне сервера в обход браузерных решений безопасности». Вредоносное ПО было обнаружено на нескольких веб-сайтах электронной коммерции, где в серверный код внедрялись скиммеры платежей Magecart.
Директор по исследованию угроз Sansec Виллем де Грот сказал, что цифровой скимминг перемещается с браузера на сервер, и это еще одна особенность зловреда.
Виллем де Грот, директор по исследованию угроз Sansec:
«В большинстве интернет-магазинов реализованы средства защиты только на основе браузера, и преступники извлекают выгоду из незащищенной серверной части. Специалисты по безопасности действительно должны учитывать все варианты для атаки»
Зловред использует хроны утилиты планирования Linux. Он добавляет несколько задач в crontab с любопытной спецификацией даты: 52 23 31 2 3. Эти строки синтаксически верны, но при выполнении будут генерировать ошибку времени выполнения.
Виллем де Грот, директор по исследованию угроз Sansec:
«Однако этого никогда не произойдет, так как они должны пройти 31 февраля. Вместо этого настоящий вредоносный код скрыт в названиях задач и построен с использованием нескольких уровней сжатия и декодирования base64»
По словам исследователей, вредоносная программа представляет собой сложную программу Bash, которая включает самоуничтожение, временную модуляцию и настраиваемый двоичный протокол для связи с внешним управляющим сервером. После запуска он связывается с управляющим сервером с помощью экзотической функции ядра Linux, которая обеспечивает связь TCP через файл с использованием поддельного баннера для службы Dropbear SSH. Это также помогает скрыть вредоносное ПО.
Он также связывается с сервером, размещенным на Alibaba в Китае, и использует настраиваемый двоичный протокол со случайными контрольными суммами, чтобы избежать обнаружения брандмауэрами и инспекторами пакетов.
После установления контакта с сервером C2 зловред сбрасывает маскировку, отправляет и получает множество команд и загружает вредоносную динамическую библиотеку. После этого вредоносная программа готова выполнить любую команду в скомпрометированной системе.
Исследуя эту RAT, исследователи написали еще один специально созданный клиент RAT для перехвата команд. Это привело к открытию еще одной RAT, которую исследователи надеются глубже изучить позже.
Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.
Статьи по теме
10572
Комментариев пока не было