Des chercheurs en sécurité ont découvert un nouveau cheval de Troie d’accès à distance (RAT) pour Linux qui conserve un profil presque invisible en se cachant dans des tâches dont l’exécution est prévue un jour inexistant, le 31 février.
Baptisé CronRAT, le malware cible actuellement les boutiques en ligne et permet aux attaquants de voler des données de carte de crédit en déployant des écumeurs de paiement en ligne sur des serveurs Linux.
Caractérisé à la fois par l’ingéniosité et la sophistication, en ce qui concerne les logiciels malveillants pour les magasins en ligne, CronRAT n’est pas détecté par de nombreux moteurs antivirus.
Cachette intelligente pour les charges utiles
CronRAT abuse du système de planification des tâches Linux, cron, qui permet aux tâches de planification de s’exécuter des jours inexistants du calendrier, comme le 31 février.
Le système Linux cron accepte les spécifications de date tant qu’elles ont un format valide, même si le jour n’existe pas dans le calendrier – ce qui signifie que la tâche planifiée ne s’exécutera pas.
C’est sur quoi CronRAT s’appuie pour atteindre sa furtivité. Un rapport publié aujourd’hui par la société néerlandaise de cybersécurité Sansec explique qu’il cache un « programme Bash sophistiqué » dans les noms des tâches planifiées.
« Le CronRAT ajoute un certain nombre de tâches à crontab avec une spécification de date curieuse : 52 23 31 2 3. Ces lignes sont syntaxiquement valides, mais généreraient une erreur d’exécution lors de leur exécution. Cependant, cela n’arrivera jamais car ils doivent se dérouler le 31 février », Sansec Les chercheurs expliquent.
Les charges utiles sont masquées via plusieurs couches de compression et d’encodage Base64. Nettoyé, le code comprend des commandes d’autodestruction, de modulation de synchronisation et un protocole personnalisé qui permet la communication avec un serveur distant.
Les chercheurs notent que le malware contacte un serveur de commande et de contrôle (C2) (47.115.46.167) à l’aide d’une « fonctionnalité exotique du noyau Linux qui permet la communication TCP via un fichier ».
De plus, la connexion s’effectue via TCP via le port 443 à l’aide d’une fausse bannière pour le service Dropbear SSH, ce qui aide également le malware à rester sous le radar.
Après avoir contacté le serveur C2, le déguisement tombe, envoie et reçoit plusieurs commandes, et obtient une bibliothèque dynamique malveillante. À la fin de ces échanges, les attaquants derrière CronRAT peuvent exécuter n’importe quelle commande sur le système compromis.
CronRAT a été trouvé dans plusieurs magasins à travers le monde, où il a été utilisé pour injecter sur le serveur des scripts qui volent les données des cartes de paiement – les attaques dites Magecart.
Sansec décrit le nouveau malware comme « une menace sérieuse pour les serveurs de commerce électronique Linux », en raison de ses capacités :
- Exécution sans fichier
- Modulation temporelle
- Sommes de contrôle anti-falsification
- Contrôlé via un protocole binaire et obscurci
- Lance le tandem RAT dans un sous-système Linux séparé
- Serveur de contrôle déguisé en service « Dropbear SSH »
- Charge utile cachée dans les noms de tâches planifiées CRON légitimes
Toutes ces caractéristiques rendent CronRAT pratiquement indétectable. Sur le service d’analyse de VirusTotal, 12 moteurs antivirus n’ont pas pu traiter le fichier malveillant et 58 d’entre eux ne l’ont pas détecté comme une menace.
Sansec note que la nouvelle technique d’exécution de CronRAT a également contourné son algorithme de détection, eComscan, et les chercheurs ont dû le réécrire afin d’attraper la nouvelle menace.