Ce logiciel malveillant se cache derrière une date impossible

by admin
Ce logiciel malveillant se cache derrière une date impossible

Des chercheurs en sécurité ont découvert un nouveau cheval de Troie d’accès à distance (RAT) malveillant qui a utilisé une méthode inhabituelle pour se cacher sur les serveurs.

Comme rapporté sur BleepingComputer, ce nouveau malware, surnommé CronRAT, se cache dans des tâches planifiées sur des serveurs Linux en programmant des tâches exécutées pour le 31 février, une date qui n’existe pas.

publicité

Découvert et nommé par le spécialiste de la sécurité de l’e-commerce Sansec, CronRAT fait partie d’une tendance croissante des malwares Magecart axés sur les serveurs Linux. CronRAT est utilisé pour permettre le vol de données Magecart côté serveur.

L’entreprise de sécurité décrit le malware comme “sophistiqué” et il n’est pas détecté par la plupart des d’antivirus. Sansec a dû réécrire son moteur de détection pour repérer le malware après avoir analysé des échantillons pour en découvrir le fonctionnement.

Le nom CronRAT fait référence à l’outil cron de Linux, qui permet aux administrateurs de créer des tâches planifiées sur un système Linux à un moment précis de la journée ou un jour régulier de la semaine.

“Le principal exploit de CronRAT est de se cacher dans le sous-système calendrier des serveurs Linux (“cron”) à une date inexistante. De cette façon, il n’attire pas l’attention des administrateurs. Et de nombreux produits de sécurité n’analysent pas le système cron de Linux”, explique Sansec dans un billet de blog.

Le malware dépose un “programme Bash sophistiqué qui comporte des fonctions d’autodestruction, de modulation du temps et un protocole binaire personnalisé pour communiquer avec un serveur de contrôle”, explique Sansec.

Les attaques de vol de données de carte bleue, désignées sous le terme d’attaque “Magecarrt, sont un problème qui n’est pas près de disparaître, car l’e-commerce continue de jouer un rôle essentiel dans les achats pendant la pandémie en cours. À l’approche du Black Friday, le Centre national de cybersécurité (NCSC) a prévenu qu’il avait identifié 4 151 commerçants en ligne dont l’activité avait été compromise par des pirates ciblant des bugs dans les pages de paiement au cours des 18 derniers mois. La plupart des attaques visaient des bugs dans la célèbre plate-forme de commerce électronique Magento. L’année dernière, le FBI a émis un avertissement similaire concernant les attaquants de Magecart qui ciblaient un plugin Magento.

Source : “ZDNet.com”

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading