Gruppo TIM
Gruppo TIM

CronRAT, il malware per l’e-commerce

È stato identificato un nuovo RAT di Linux, soprannominato “CronRAT”. Tratto distintivo è il suo “nascondiglio”, in quanto può essere trovato in diversi task che hanno una pianificazione temporale per il 31 febbraio, un giorno che, ovviamente, non esiste.

CronRAT mantiene un momentaneo basso profilo, rendendosi quasi invisibile, e i suoi obiettivi sembrano essere i negozi online. 

Gli hacker agiscono mediante la distribuzione su server Linux di skimmer di pagamenti online con l’obiettivo finale di eseguire il furto di informazioni sulla carta di credito.

 

Cos’è CronRAT?

Si chiama CronRAT il trojan di accesso remoto (RAT) per Linux che si nasconde nelle attività programmate del sistema operativo per l’esecuzione il 31 febbraio, una data inesistente. 

CronRAT è un malware che attualmente prende di mira i negozi online e consente agli aggressori di rubare informazioni sulla carta di credito installando skimmer di pagamento online su server Linux.

È stato riconosciuto su diversi server MageCart in tutto il mondo, caratterizzato da inventiva e astuzia ed è ancora sconosciuto da quasi tutti i motori antivirus.

CronRAT sfrutta una vulnerabilità del sistema di pianificazione del sistema operativo Open Source, chiamato appunto cron, il quale non vieta di pianificare le attività in giorni che non esistono nel calendario, come il 31 febbraio.

Infatti, anche se è un giorno inesistente nel calendario, il sistema cron di Linux rispetta i requisiti di data purché abbiano un formato corretto, il che implica che il lavoro pianificato non verrà eseguito, ma allo stesso tempo non farà fallire l’esecuzione del servizio cron, finché il formato è espresso in maniera corretta.

 

Come funziona CronRAT

Nei casi osservati, i payload sono infatti riportati nel file crontab con espressioni di data del tipo: 52 23 31 2 3 (di fatto sintatticamente corretti, ma logicamente impossibili da far eseguire).

CronRAT fa affidamento su questo per mantenere il proprio anonimato.

Secondo la ricerca pubblicata da Sansec, CronRAT nasconde un “sofisticato programma bash” nei titoli delle attività programmate sul file crontab. 

I payload (nascosti appunto nei nomi delle attività programmate in giorni inesistenti) sono offuscati con più livelli di compressione e codifica Base64. 

Inoltre, Il codice, durante lo studio, è stato ripulito dai diversi livelli di compressione e sembra contenere comandi per la modulazione temporale, l’autodistruzione e un protocollo personalizzato per la comunicazione.

I ricercatori hanno scoperto che il malware comunica con un server di comando e controllo (C2) utilizzando una caratteristica insolita del kernel Linux che consente la connessione TCP tramite un file che i ricercatori stessi hanno definito “esotico”. 

Inoltre, il malware utilizza un banner fasullo per il servizio Dropbear SSH per connettersi tramite TCP attraverso la porta 443, il che lo aiuta a non essere rilevato.

Dopo l’accesso al server di comando e controllo, invia e riceve vari comandi e ottiene una libreria dinamica dannosa. 

Gli aggressori di CronRAT possono quindi eseguire qualsiasi comando sulla macchina compromessa al termine di questi scambi. 

Come riportato nell’analisi di Sansec, il rivoluzionario approccio di esecuzione di CronRAT ha anche aggirato l’algoritmo di rilevamento dei ricercatori, eComscan, e hanno dovuto modificarlo per identificare la nuova minaccia.

Secondo quanto riferiscono gli autori del report, CronRAT è stato identificato su un elevato numero di siti Internet dedicati al commercio elettronico.

 

Come proteggersi da CronRAT

Trattandosi di una minaccia nuova e prima d’ora sconosciuta, i ricercatori stessi riportano che CronRAT appartiene a un argomento ancora da esplorare, per il quale non sono chiare molte caratteristiche e che necessiterà sicuramente di ulteriori approfondimenti.

Per esempio, non è chiaro come avvenga l’infezione. È in fase di studio capire se si possano sfruttare vulnerabilità esistenti di MageCart, se è necessario lo sfruttamento di azioni da parte dell’utente finale (magari inconsapevole e coinvolto con tecniche di social engineering) oppure ancora se è necessario invece ottenere l’accesso fisico al server Linux.

È ad ogni modo una ricerca in divenire, che aprirà nuovi scenari nella sicurezza degli applicativi e-commerce, o comunque di quei sistemi che trattano codici di carte di credito e dati di pagamento.