Los investigadores de ciberseguridad han descubierto una nueva modalidad de troyano de acceso remoto (RAT) que no sólo se ejecuta en equipos Linux (un objetivo habitual pero minoritario en el mundo del malware), sino que recurre a una técnica novedosa para pasar prácticamente desapercibido: esconderse en el programador de tareas del sistema (el 'cron') asignando su ejecución a un día inexistente, el 31 de febrero.
Apodado CronRAT en un derroche de originalidad, este furtivo malware está destinado a infectar los servidores web de tiendas online, facilitando la instalación de 'skimmers' de pago que destinados al robo de datos de tarjetas de crédito. La firma holandesa de ciberseguridad Sansec Threat Research afirma haber detectado la presencia de CronRAT en varios e-commerce en funcionamiento.
Su ingenioso sistema de infección le permite no ser detectado por la mayoría de los motores antivirus disponibles en el mercado. De hecho, en el servicio de análisis VirusTotal, 12 motores antivirus no pudieron procesar el archivo malicioso y 58 de ellos no lo detectaron como una amenaza.
Todo esto es posible gracias a que el malware se aprovecha del hecho de que 'cron' admite programar tareas en cualquier especificación de fecha con un formato válido, incluso si el día indicado no existe en el calendario, como ocurre en este caso: eso tan sólo significa que la tarea programada no se ejecutará…
…a no ser que, como es el caso, el nombre de la tarea programada esconda un "sofisticado script Bash" que ofusca la carga útil del malware bajo múltiples capas de compresión y codificación Base64.
Las amenazas de 'skimming' ya no llegan únicamente desde el navegador
Pero, cuando miramos bajo todo eso, el código de CronRAT incluye comandos para la autodestrucción, modulación de temporización y un protocolo personalizado que permite la comunicación con un servidor remoto de comando y control.
Dicha conexión con el servidor (con IP 47.115.46.167), se lleva a cabo recurriendo a una "funcionalidad exótica del kernel de Linux que permite la comunicación TCP a través de un archivo", así como a una conexión a través del puerto 443, para lo que hace uso de un falso identificador del servicio Dropbear SSH, un detalle que también ayuda a que el malware permanezca 'bajo el radar'.
Además, la conexión con dicho servidor es la que permite descargar e instalar una biblioteca dinámica maliciosa, el último componente necesario del malware que permite a sus desarrolladores ejecutar luego cualquier comando en el sistema comprometido.
Además, CronRAT representa un cambio de tendencia en el desarrollo de malware de robo de datos de tarjetas, según reconoce el director de investigación de amenazas de Sansec, Willem de Groot:
"El skimming digital se está moviendo del navegador al servidor y este es un ejemplo más: la mayoría de las tiendas online solo han implementado defensas contra amenazas desde el lado del navegador, y los delincuentes están capitalizando ese backend desprotegido".
Imagen | Dafne Cholet
Ver todos los comentarios en https://www.genbeta.com
VER 21 Comentarios