Un nouveau cheval de Troie utilisé pour accéder à un appareil à distance a été découvert par des chercheurs en sécurité. Il utilise une méthode peu conventionnelle pour se cacher sur les serveurs.
BleepingComputer rapporte que ce nouveau malware, surnommé CronRAT, se cache dans des tâches planifiées sur des serveurs Linux. Il programme pour cela des tâches à exécuter pour le 31 février… une date qui n’existe pas.
Découvert et nommé par le spécialiste de la sécurité de l’e-commerce Sansec, CronRAT fait partie d’une tendance croissante des malwares Magecart axés sur les serveurs Linux. CronRAT est utilisé pour permettre le vol de données Magecart côté serveur.
Un malware sophistiqué
Bleeping Computer décrit le malware comme « sophistiqué ». Par ailleurs, il n’est pas détecté par la plupart des antivirus. Sansec a dû réécrire son moteur de détection pour repérer le malware, après avoir analysé des échantillons, pour en découvrir le fonctionnement.
Le nom CronRAT fait référence à l’outil cron de Linux, qui permet aux administrateurs de créer des tâches planifiées sur un système Linux à un moment précis de la journée ou un jour régulier de la semaine.
« Le principal exploit de CronRAT est de se cacher dans le sous-système calendrier des serveurs Linux (« cron ») à une date inexistante. De cette façon, il n’attire pas l’attention des administrateurs. Et de nombreux produits de sécurité n’analysent pas le système cron de Linux », explique Sansec dans un billet de blog.
Le malware dépose un « programme Bash sophistiqué qui comporte des fonctions d’autodestruction, de modulation du temps et un protocole binaire personnalisé pour communiquer avec un serveur de contrôle », précise-t-il.
Les attaques Magecart ont la cote
Les attaques de vol de données de carte bleue, désignées sous le terme d’attaque « Magecart », sont un problème qui n’est pas près de disparaître, car l’e-commerce continue de jouer un rôle essentiel dans les achats pendant la pandémie en cours.
Peu avant le Black Friday, le centre national de cybersécurité américain (NCSC) a prévenu avoir identifié 4 151 commerçants en ligne dont l’activité avait été compromise par des pirates ciblant des vulnérabilités dans les pages de paiement au cours des 18 derniers mois. La plupart des attaques visaient des failles dans la célèbre plateforme de commerce électronique Magento.
L’année dernière, le FBI a émis un avertissement similaire concernant les attaquants de Magecart qui ciblaient un plugin Magento.
Source : ZDNet.com
