Los investigadores han descubierto un nuevo troyano de acceso remoto (RAT) para Linux que emplea una técnica de sigilo nunca antes vista que implica enmascarar sus acciones maliciosas programándolas para su ejecución el 31 de febrero, un día calendario inexistente.
Apodado CronRAT, el malware furtivo «permite el robo de datos Magecart del lado del servidor que pasa por alto las soluciones de seguridad basadas en navegador», dijo Sansec Threat Research. La firma holandesa de ciberseguridad dijo que encontró muestras de la RAT en varias tiendas en línea, incluida la tienda más grande de un país sin nombre.
La característica más destacada de CronRAT es su capacidad para aprovechar la utilidad de programación de trabajos cron para Unix para ocultar cargas útiles maliciosas utilizando nombres de tareas programadas para ejecutarse el 31 de febrero. Esto no solo permite que el malware eluda la detección del software de seguridad, sino que también le permite lanzar una serie de comandos de ataque que podrían poner en riesgo los servidores de comercio electrónico de Linux.
«El CronRAT agrega una serie de tareas a crontab con una curiosa especificación de fecha: 52 23 31 2 3», explicaron los investigadores . «Estas líneas son sintácticamente válidas, pero generarían un error de tiempo de ejecución cuando se ejecutaran. Sin embargo, esto nunca sucederá ya que están programadas para ejecutarse el 31 de febrero».
El RAT, un «programa Bash sofisticado», también utiliza muchos niveles de ofuscación para dificultar el análisis, como colocar código detrás de las barreras de codificación y compresión, e implementar un protocolo binario personalizado con sumas de verificación aleatorias para pasar los firewalls y los inspectores de paquetes, antes de establecer comunicaciones con un servidor de control remoto para esperar instrucciones adicionales.
Armados con este acceso de puerta trasera, los atacantes asociados con CronRAT pueden ejecutar cualquier código en el sistema comprometido, anotaron los investigadores.
«El skimming digital se está moviendo del navegador al servidor y este es otro ejemplo», dijo el Director de Investigación de Amenazas de Sansec, Willem de Groot. «La mayoría de las tiendas en línea solo han implementado defensas basadas en navegador, y los delincuentes aprovechan el back-end desprotegido. Los profesionales de seguridad realmente deberían considerar la superficie de ataque completa».
