Publicidade

Linux se torna alvo de vírus que dribla detecção e rouba cartões de crédito

Por| Editado por Claudio Yuge | 26 de Novembro de 2021 às 19h20

Link copiado!

Alveni Lisboa/Canaltech
Alveni Lisboa/Canaltech

Pesquisadores descobriram um novo cavalo de troia de acesso remoto (RAT) para Linux, praticamente invisível a soluções de proteção por se esconder em tarefas programadas para execução em dias inexistentes. O objetivo principal da ameaça é o roubo de dados de cartões de crédito.

A pesquisa foi realizada pela Sansec. A ameaça, batizada de CronRAT, permite que os criminosos roubem informações de cartão de crédito a partir de ataques Magecart em servidores Linux. Por hora, o vírus tem como alvo principal as lojas online.

Magecart é um tipo de ataque digital em que os criminosos, a partir de códigos maliciosos em servidores ou sites, roubam as informações de cartão de crédito das vítimas quando elas acessam a página de checkout de varejos online.

Continua após a publicidade

O utilitário de agendamento de ações do Linux, o cron, permite que usuários agendem execução de tarefas para datas inexistentes, portanto que elas sigam os padrões do calendário do sistema.

O Cronrat se aproveita disso e disfarça sua infecção em tarefas agendadas para dias como 31 de fevereiro, assim impedindo que soluções antivírus encontrem seus rastros.

Se escondendo nessas ações, junto de sua execução inicial sem rastros, o vírus acaba se tornando praticamente invisível, ao ponto do agente malicioso não ter sido aceito para análise em 12 motores de antivírus do VirusTotal e ser identificado como um arquivo seguro em outras 58.

Queda do disfarce no Linux

Continua após a publicidade

A pesquisa da Sansec também descobriu que o CronRAT, durante sua atuação, entra em contato com om servidor de controle e comando (C2) a partir de uma função do kernel do Linux que permite comunicação TCP (protocolo usado para garantir integridade dos dados transmitidos) a partir de arquivos, e com um falso identificador para manter a invisibilidade da ameaça.

Após completar a primeira conexão com o servidor C2, a ameaça baixa uma biblioteca de funções maliciosas, perde seu disfarce e permite ao seu controlador executar qualquer comando no sistema infectado.

Os pesquisadores afirmam que para detectar o CronRAT, tiveram que desenvolver um interceptador de comandos complexo, e que ainda estão estudando como a remoção da ameaça pode ser realizada. Além disso, graças ao interceptador criado durante a pesquisa, eles identificaram um outro RAT perigoso, que pretendem logo divulgar detalhes.

Continua após a publicidade

Fonte: Sansec