Linux木马CronRAT躲在2月31日行事历中窃取电商消费者资讯

年底的购物旺季成了骇客的最好舞台。资安厂商近日发现一只窃密木马程式藏匿在电商网站的2月31日行事历中，以前所未见的高明手法躲避侦测。

由于年底是电商旺季，安全厂商发现多宗以窃取消费者信用卡资讯的恶意程式。安全厂商Sansec威胁研究小组继上周揭露利用linux_avp可执行档发动的网页侧录（Web skimming）攻击后，本周又公布锁定电商网站的最新恶意程式，名为CronRAT远端存取木马（remote access trojan，RAT）。

Sansec在多个电商网站发现CronRAT，包括一个国家最大的电商网站。它之所以被命名为CronRAT，是因它躲藏在电商业者后端的Linux服务器中的行事历子系统cron，并选定了根本不存在的2月31日，如此一来就不会引起服务器管理员的注意。另一个特点是，许多安全软件都不会扫描Linux cron系统，也让它逃过了大部分安全产品的侦测。

CronRAT有多种特殊能力。首先，CronRAT的远端控制服务器代管于阿里巴巴云IP上，并以经混淆（obfuscated）的特制binary协定联系以回避防火墙及封包侦测。它下载到受害Linux的恶意档案是Bash程式，可设定时间自我毁灭，一经启动，又会伪装成Dropbear SSH服务与远端控制服务器联络。此外，攻击者还能在多个不同Linux子系统上启动串联式RAT（Tandem RAT）。

安全公司指出，CronRAT的高明手法让攻击者得以长期渗透到电商网站的Linux服务器。Sansec发现CronRAT已导致多起Magecart，即支付窃密程式（payment skimmer）攻击，这类攻击旨在以侧录程式窃取消费者的信用卡卡号、银行账号及网站帐密等资讯。

Sansec威胁研究中心主任Willem de Groot并指出，CronRAT是数位窃密（digital skimming）从单纯浏览器来到服务器的最新例子，由于大部分电商网站只实作浏览器或Web防护，让罪犯可从后端下手。显示安全人员必须考虑完整的攻击面。