Un nuevo malware para Linux se oculta como una tarea programada para un día inexistente para robar datos de tarjetas de crédito

Zimother: fucker
nother
nother
oe
Irs
21 mother: fucke
an
Tr
Er pe
RTT Tp
Rr
TIT

I

 

 

  
 

 

 

 

rte
L:nother: fucker

Linux Malware
Hack 'Em All

Los investigadores de ciberseguridad han descubierto una nueva modalidad de troyano de acceso remoto (RAT) que no sólo se ejecuta en equipos Linux (un objetivo habitual pero minoritario en el mundo del malware), sino que recurre a una técnica novedosa para pasar prácticamente desapercibido: esconderse en el programador de tareas del sistema (el 'cron') asignando su ejecución a un día inexistente, el 31 de febrero.

Apodado CronRAT en un derroche de originalidad, este furtivo malware está destinado a infectar los servidores web de tiendas online, facilitando la instalación de 'skimmers' de pago que destinados al robo de datos de tarjetas de crédito. La firma holandesa de ciberseguridad Sansec Threat Research afirma haber detectado la presencia de CronRAT en varios e-commerce en funcionamiento.

Su ingenioso sistema de infección le permite no ser detectado por la mayoría de los motores antivirus disponibles en el mercado. De hecho, en el servicio de análisis VirusTotal, 12 motores antivirus no pudieron procesar el archivo malicioso y 58 de ellos no lo detectaron como una amenaza.

Todo esto es posible gracias a que el malware se aprovecha del hecho de que 'cron' admite programar tareas en cualquier especificación de fecha con un formato válido, incluso si el día indicado no existe en el calendario, como ocurre en este caso: eso tan sólo significa que la tarea programada no se ejecutará…

Pero, cuando miramos bajo todo eso, el código de CronRAT incluye comandos para la autodestrucción, modulación de temporización y un protocolo personalizado que permite la comunicación con un servidor remoto de comando y control.

Dicha conexión con el servidor (con IP 47.115.46.167), se lleva a cabo recurriendo a una "funcionalidad exótica del kernel de Linux que permite la comunicación TCP a través de un archivo", así como a una conexión a través del puerto 443, para lo que hace uso de un falso identificador del servicio Dropbear SSH, un detalle que también ayuda a que el malware permanezca 'bajo el radar'.

Articulo completo

thumb_up Relevante message Comentar
Comentarios

Contenido relacionado

hace 5 años

Una empresa de seguridad rusa descubre cómo acceder a las conversaciones entre usuarios del servicio de mensajería de WhatsApp

Fernando 🐝 Santa Isabel Llanos ·                                     · La firma de seguridad Positive Technologies ha descubierto que lavulnerabilidad del Protocolo SS7 permite saltarse el cifrado punto a punto de WhatsApp. Un vector de ataque que también puede afectar a otras aplicaciones como Telegram. · La f ...

hace 5 años

Vulnerabilidad grave en sistemas de gestión de bases de datos IBM DB2

Fran 🐝 Brizzolis · Se ha confirmado una vulnerabilidad en IBM DB2 (el popular gestor de base de datos de IBM) versiones 9.7, 10.1, 10.5 y 11.1 sobre sistemas Linux, HP, AIX y Windows; que podrían permitir a un atacante elevar sus privilegios en los sistemas afectados. · El problema, con CVE-2016-59 ...

hace 5 años

Linux lanza “Zephyr”, un sistema operativo compatible y seguro para Internet de las Cosas (IoT)

Fran 🐝 Brizzolis · Durante los próximos años vamos a experimentar una importante evolución tecnológica en nuestras vidas y nuestros hogares. La llegada de Internet de las Cosas supone una auténtica revolución, una tecnología que está avanzando a pasos agigantados. Pero hay algo que podría frenar es ...

hace 5 años

El Kernel de Linux comprometido durante años

Fran 🐝 Brizzolis · Una importante vulnerabilidad ha estado presente durante nueve años en prácticamente todas las versiones y re-implementaciones del kernel Linux, según un investigador que aconseja a los usuarios instalar el correspondiente parche cuanto antes. · Con el código CVE-2016-5195, se tr ...

hace 4 años
Alfredo José Feijóo González A

Comandos de chequeo en linux

Alfredo José Feijóo González ·                                                Comandos utilies para Debian · Debido a la gran repercusión que tubo el articulo anterior y a varias consultas, paso a indicaros una serie de comandos para Linux, con los que podréis verificar el estado de la máquina, en los compone ...

hace 4 años
Alfredo José Feijóo González A

Instalacion y configuración de Wine. Como ejecutar programas Windows en Linux (Actualizado)

Alfredo José Feijóo González · Ejecutar programas Windows en Linux · 1.- Instalacion y configuración de Wine · En relación a todos los artículos que he leído, y a los correos que he recibido, respecto a fallos de funcionamiento con el programa Wine, tengo que decir que yo no he visto ningún problema con el, co ...