Исследователи раскрыли новый троян удаленного доступа (RAT) под Linux, который задействует ранее не встречавшуюся технику скрытности, подразумевающую маскировку вредоносных действий за счет планирования их выполнения на 31 февраля.
Прозванный CronRAT, коварный троян «позволяет совершать кражу данных на стороне сервера в обход браузерных средств безопасности», — сообщили в Sansec, нидерландской компании, занимающейся вопросами кибербезопасности. Специалисты обнаружили образцы этого трояна в нескольких онлайн-магазинах, включая крупнейшего в стране ритейлера, название которого не сообщается.
CronRAT выделяется своей возможностью задействовать планировщик задач
cron для сокрытия вредоносных нагрузок с помощью имен задач, запрограммированных на выполнение 31 февраля. Это не только позволяет вредоносу избегать обнаружения защитными программами, но и дает ему возможность выполнять различные атакующие команды, ставя под угрозу сервера электронной коммерции.Выдержка из отчета исследователей:
«CronRAT добавляет вcrontabряд задач с оригинальной спецификацией даты:52 23 31 2 3. Эти строки синтаксически верны, но при выполнении вызовут ошибку. Хотя случиться этому не суждено, так как их выполнение запланировано на 31 февраля. На деле же фактический вредоносный код скрыт в именах задач и построен при помощи нескольких уровней сжатия и декодирования base64».
Сама полезная нагрузка представляет собой изощренную программу Bash (оригинал и его аннотированная версия), которая снаряжена функцией самоликвидации, временной модуляцией и кастомным двоичным протоколом для сообщения с удаленным командным сервером. Как выразился один инженер:
Я думал, что освоил Bash в совершенстве, но этот скрипт вызывает у меня головную боль.
Имея в распоряжении подобный бэкдор, атакующие могут выполнять на скомпрометированных системах любой код.
Основатель Sansec, Виллем де Гроот, прокомментировал ситуацию так:
«Цифровой скимминг переходит из браузеров на серверы, и здесь перед нами очередной тому пример. В большинстве онлайн-магазинов реализована лишь браузерная защита, и преступники решили воспользоваться их незащищенным бэкендом. Считаю, что специалисты по кибербезопасности должны серьезно озадачиться проработкой всей возможной поверхности атаки».
