Các nhà nghiên cứu đã phát hiện ra một trojan truy cập từ xa (RAT) mới cho Linux sử dụng một kỹ thuật ẩn chưa từng thấy bao gồm việc che giấu các hành động độc hại của nó bằng cách lên lịch thực hiện chúng vào ngày 31 tháng 2, một ngày không tồn tại theo lịch.
Được đặt tên là CronRAT, phần mềm độc hại lén lút “cho phép đánh cắp dữ liệu Magecart phía máy chủ, vượt qua các giải pháp bảo mật dựa trên trình duyệt”, Sansec Threat Research cho biết. Công ty an ninh mạng của Hà Lan cho biết họ đã tìm thấy các mẫu RAT trên một số cửa hàng trực tuyến, bao gồm cả một cửa hàng lớn nhất của quốc gia giấu tên.
Tính năng nổi bật của CronRAT là khả năng tận dụng tiện ích lập lịch công việc cron cho Unix để ẩn các tải trọng độc hại bằng cách sử dụng tên tác vụ được lập trình để thực thi vào ngày 31 tháng 2. Điều này không chỉ cho phép phần mềm độc hại trốn tránh sự phát hiện từ phần mềm bảo mật mà còn cho phép nó khởi chạy một loạt lệnh tấn công có thể khiến các máy chủ Thương mại điện tử Linux gặp rủi ro.
Các nhà nghiên cứu giải thích: “CronRAT thêm một số nhiệm vụ vào crontab với đặc điểm kỹ thuật ngày gây tò mò: 52 23 31 2 3. “Những dòng này hợp lệ về mặt cú pháp, nhưng sẽ tạo ra lỗi thời gian chạy khi được thực thi. Tuy nhiên, điều này sẽ không bao giờ xảy ra vì chúng được lên lịch chạy vào ngày 31 tháng 2.”
RAT – một “chương trình Bash tinh vi” – cũng sử dụng nhiều mức độ nhiễu để làm cho việc phân tích trở nên khó khăn, chẳng hạn như đặt mã phía sau các rào cản mã hóa và nén, đồng thời triển khai một giao thức nhị phân tùy chỉnh với tổng kiểm tra ngẫu nhiên để vượt qua tường lửa và trình kiểm tra gói, trước khi thiết lập liên lạc với máy chủ điều khiển từ xa để chờ hướng dẫn thêm.
Được trang bị quyền truy cập cửa hậu này, những kẻ tấn công liên quan đến CronRAT có thể chạy bất kỳ mã nào trên hệ thống bị xâm nhập, các nhà nghiên cứu lưu ý.
“Digital skimming đang chuyển từ trình duyệt sang máy chủ và đây là một ví dụ khác,” Giám đốc Nghiên cứu Đe doạ của Sansec, Willem de Groot, cho biết. “Hầu hết các cửa hàng trực tuyến chỉ triển khai các biện pháp phòng thủ dựa trên trình duyệt và bọn tội phạm tận dụng lợi thế của hệ thống back-end không được bảo vệ. Các chuyên gia bảo mật thực sự nên xem xét toàn bộ bề mặt tấn công.”
.
