Atividade de novo malware Linux esconde-se no dia 31 de fevereiro

Os analistas de cibersegurança da holandesa Sansec Threat Research descobriram um novo Remote Access Trojan (RAT) para sistemas Linux, apelidado CronRAT. O novo malware esconde a sua atividade maliciosa no dia 31 de fevereiro do Cron, que não existe. Foram identificadas amostras do CronRAT em lojas online e, segundo os especialistas, entre elas há uma das maiores lojas de um país não especificado. 

O malware, caraterizado pelo engenho e sofisticação, tem a capacidade de roubar dados dos servidores de websites de e-commerce e contornar as soluções de segurança baseadas no browser, ao implementar skimmers de pagamento online nos servidores Linux. Apesar do dia 31 de fevereiro não estar no calendário, o sistema de Cron do Linux aceita a data desde que tenha um formato válido. 

A capacidade permite que o malware lance vários comandos de ataque para comprometer os servidores de e-commerce no Linux, podendo escapar à deteção das soluções de segurança. 
"O CronRAT adiciona uma série de tarefas à Crontab com uma curiosa especificação de data: 52 23 31 2 3. Estas linhas são sintaticamente válidas, mas gerariam um erro de tempo de execução quando executadas. Contudo, isso nunca vai acontecer uma vez que estão agendados para 31 de fevereiro”, explicam os analistas da Sansec.

O CronRAT tem a capacidade de execução sem ficheiros, modulação de tempo, anti-tampering checksums, é controlado de forma binária com protocol obfuscation, lança tandem RAT separado do subsistema Linux, um servidor de controlo disfarçado de serviço Dropbear SSH e payload escondida em nomes de tarefas legítimos agendados na Cron.