CronRAT, il topo (malware) del crontab

b53d2ec635ec2620b212104aa66bb394

In periodo di Black Friday e di acquisti di Natale alle porte, i servizi di eCommerce sono quanto mai a rischio, specialmente per quanto riguarda la sicurezza dei dati delle carte di credito inviati ad ogni transazione effettuata online. E anche i sistemi Linux sono coinvolti.

Una delle più problematiche tipologie di malware diffusi al momento fa parte della categoria degli skimmers, che funzionano, letteralmente, rubando numero, intestatario e CVV della carta di credito ed utilizzando tali dati per effettuare ulteriori acquisti online – o per comprare criptovalute. Il problema relativo agli skimmers è che sono molto difficili da tracciare, e complicati da rilevare. Magecart è uno dei più diffusi, e da più di 5 anni infesta sistemi di eCommerce come Magento.

Si calcola che nel 2020 siano stati trovati almeno 50 mila negozi online il cui servizio abbia subito, almeno una volta, un attacco Magecart.

Esistono vari flavor di Magecart, alcuni che girano sul client (e il codice malevolo è di Javascript, che va ad installare un keylogger sui client aventi browser vulnerabili), altri che girano sul server (generalmente sul servizio di eCommerce, nel 90% dei casi scritto in PHP). È proprio quest’ultima tipologia di Magecart quella che viene veicolata dal topo del crontab, CronRAT.

Questo malware sfrutta allo stesso tempo alcune metodologie che lo rendono difficile da rilevare:

  • non ha necessità di file esterni;
  • ha dei checksum anti-tampering;
  • è controllato tramite un protocollo binario offuscato;
  • sfrutta il fatto che il servizio crond Linux non va a controllare che la data data inserita sia corretta.

Quest’ultima caratteristica gli permette di essere inserito come un task nel crontab, con una sintassi del comando errata (e che quindi darebbe errore se eseguita, ma con l’accortezza di programmarla, ad esempio, il 31 Febbraio. Il demone cron non fa una piega, infatti, di fronte a date inesistenti, ma si preoccupa solo di validare la sintassi dei campi in sè e per sè, lasciando il payload rilevato.

Quello che poi va a fare CronRAT è il connettersi, tramite script bash opportunamente offuscato, ad un server remoto la cui signature di connessione si presenta come un SSH Service Dropbear: in realtà, tramite un opportuno protocollo, vengono inviati dei comandi speciali che fanno in modo che il server invii delle librerie tampered che vanno a sovrascrivere funzioni di quelle di sistema, venendo referenziate tramite il ben noto metodo LD_PRELOAD.

Sostanzialmente, in questo modo, chi sta utilizzando CronRAT può fare eseguire qualsiasi tipologia di codice. E una delle vittime preferite, in questo periodo, sono proprio i server vulnerabili a MageCart.

Occhio quindi nei vostri acquisti online: se possibile, utilizzate sistemi di pagamento sicuri, o carte prepagate per limitare i danni.

Sostenitore di lunga data dell’Open Source, Sysadmin ma anche programmatore, mi appassiona qualsiasi cosa nell’IT che possa permettere un’espressione di creatività. Nostalgico della filosofia dei tempi andati, ma incuriosito dalle potenzialità dei paradigmi moderni.

Fonte: https://www.miamammausalinux.org/2021/11/cronrat-il-topo-malware-del-crontab/

Visited 3 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.