APP下载

Linux木马CronRAT躲在2月31日行事历中窃取电商消费者资讯

消息来源:baojiabao.com 作者: 发布时间:2024-11-23

报价宝综合消息Linux木马CronRAT躲在2月31日行事历中窃取电商消费者资讯

年底的购物旺季成了骇客的最好舞台。资安厂商近日发现一只窃密木马程式藏匿在电商网站的2月31日行事历中,以前所未见的高明手法躲避侦测。

由于年底是电商旺季,安全厂商发现多宗以窃取消费者信用卡资讯的恶意程式。安全厂商Sansec威胁研究小组继上周揭露利用linux_avp可执行档发动的网页侧录(Web skimming)攻击后,本周又公布锁定电商网站的最新恶意程式,名为CronRAT远端存取木马(remote access trojan,RAT)。

Sansec在多个电商网站发现CronRAT,包括一个国家最大的电商网站。它之所以被命名为CronRAT,是因它躲藏在电商业者后端的Linux服务器中的行事历子系统cron,并选定了根本不存在的2月31日,如此一来就不会引起服务器管理员的注意。另一个特点是,许多安全软件都不会扫描Linux cron系统,也让它逃过了大部分安全产品的侦测。

CronRAT有多种特殊能力。首先,CronRAT的远端控制服务器代管于阿里巴巴云IP上,并以经混淆(obfuscated)的特制binary协定联系以回避防火墙及封包侦测。它下载到受害Linux的恶意档案是Bash程式,可设定时间自我毁灭,一经启动,又会伪装成Dropbear SSH服务与远端控制服务器联络。此外,攻击者还能在多个不同Linux子系统上启动串联式RAT(Tandem RAT)。

安全公司指出,CronRAT的高明手法让攻击者得以长期渗透到电商网站的Linux服务器。Sansec发现CronRAT已导致多起Magecart,即支付窃密程式(payment skimmer)攻击,这类攻击旨在以侧录程式窃取消费者的信用卡卡号、银行账号及网站帐密等资讯。

Sansec威胁研究中心主任Willem de Groot并指出,CronRAT是数位窃密(digital skimming)从单纯浏览器来到服务器的最新例子,由于大部分电商网站只实作浏览器或Web防护,让罪犯可从后端下手。显示安全人员必须考虑完整的攻击面。

2021-11-26 14:48:00

相关文章