Mã độc lên lịch tấn công Linux ngày thật xa, tưởng không khôn ai ngờ khôn không tưởng

Các nhà nghiên cứu vừa phát hiện ra một malware truy cập từ xa (RAT) mới nhắm vào Linux. Malware này sử dụng một kỹ thuật ẩn nấp thông minh chưa từng thấy để che giấu các hoạt động phá hoại của nó.

Được đặt tên là CronRAT, malware mới bị phát hiện có thể đánh cắp dữ liệu Magecart từ phía máy chủ, vượt qua các giải pháp máy chủ dựa trên trình duyệt. Các hành vi phá hoại của nó được lên lịch thực hiện vào ngày 31/02, một ngày không hề tồn tại. Nhờ vậy, mọi hoạt động của nó sẽ được che dấu.

Sansec Threat Research, một hãng an ninh mạng của Hà Lan, cho biết họ đã tìm thấy mẫu của ConRAT trên một số cửa hàng trực tuyến, bao gồm cả một cửa hàng lớn nhất nước.

Như đã nói, tính năng nổi bật nhất của ConRAT là khả năng tận dụng tiện ích lập lịch công việc cron cho Unix để ẩn các payload độc hại bằng cách sử dụng tên tác vụ được lập trình để thực thi vào ngày 31/02. Điều này không chỉ cho phép malware né tránh sự phát hiện của phần mềm bảo mật mà còn cho phép nó khởi chạy một loạt lệnh tấn công có thể khiến các máy chủ thương mại điện tử Linux eCommerce gặp rủi ro.

"CronRAT thêm một số nhiệm vụ vào crontab với thông số ngày gây nhiễu loạn: 52 23 31 2 3. Những dòng này hợp lệ về mặt cú pháp nhưng sẽ tạo ra lỗi thời gian chạy khi được thực thi. Tuy nhiên, lỗi thời gian chạy lại không bao giờ xảy ra khi tác vụ được lên lịch chạy vào ngày 31/02", các nhà nghiên cứu giải thích.

RAT là một chương trình Bash phức tạp có thể triển khai ở nhiều cấp độ khác nhau. Nó có thể được điều khiển từ xa bởi máy chủ, có khả năng đặt rào cản mã hóa và nén cùng các kỹ thuật khác để vượt qua tường lửa và các trình kiểm tra gói.