Baptisé CronRAT, un nouveau cheval de Troie d'accès à distance (RAT) pour Linux permet de voler des données Magecart côté serveur en contournant les solutions de sécurité basées sur les navigateurs, a été découvert par Sansec Threat Researchers. La société néerlandaise de cybersécurité a déclaré avoir trouvé des échantillons du RAT sur plusieurs magasins en ligne.

Les chercheurs ont indiqué qu'il utilise une technique de furtivité jamais vue auparavant, qui consiste à masquer ses actions malveillantes en programmant leur exécution pour le 31 février, un jour calendaire inexistant.

La caractéristique principale de CronRAT est sa capacité à exploiter le mécanisme de planification des tâches cron pour Unix afin de cacher les charges utiles malveillantes en utilisant des noms de tâches programmées pour s'exécuter le 31 février permet non seulement au malware d'échapper à la détection des logiciels de sécurité, mais aussi de lancer toute une série de commandes d'attaque qui pourraient mettre en danger les serveurs de commerce électronique Linux.

Ce RAT utilise également de nombreux niveaux de camouflage pour rendre l'analyse difficile, par exemple en plaçant le code derrière des barrières de chiffrement et de compression, et en mettant en œuvre un protocole binaire personnalisé avec des checksum de contrôle aléatoires pour passer outre le pare-feu et les inspecteurs de paquets, avant d'établir des communications avec un serveur de contrôle distant pour attendre d'autres instructions. Et créer un accès backdoor, où les attaquants associés à CronRAT peuvent exécuter n'importe quel code sur le système compromis.

Les informations volées par ce genre de malware qui sont devenus de plus en plus Féroces peuvent être vendues en ligne pour de l'argent illicite ou être utilisées dans de futures attaques. Il est donc conseillé aux organisations d'investir davantage dans des solutions de protection des données afin de sécuriser les informations sensibles.