Peneliti keamanan telah menemukan trojan akses jarak jauh (RAT) baru untuk Linux yang membuat profil hampir tidak terlihat dengan bersembunyi di tugas yang dijadwalkan untuk dieksekusi pada hari yang tidak ada, 31 Februari.
Dijuluki CronRAT, malware saat ini menargetkan toko web dan memungkinkan penyerang mencuri data kartu kredit dengan menggunakan skimmer pembayaran online di server Linux.
Dicirikan oleh kecerdikan dan kecanggihan, sejauh menyangkut malware untuk toko online, CronRAT tidak terdeteksi oleh banyak mesin antivirus.
CronRAT menyalahgunakan sistem penjadwalan tugas Linux, cron, yang memungkinkan penjadwalan tugas berjalan pada hari yang tidak ada dalam kalender, seperti 31 Februari.
Sistem cron Linux menerima spesifikasi tanggal selama mereka memiliki format yang valid, meskipun hari tidak ada di kalender – yang berarti bahwa tugas yang dijadwalkan tidak akan dijalankan.
Inilah yang diandalkan CronRAT untuk mencapai silumannya. Sebuah laporan hari ini dari perusahaan keamanan siber Belanda Sansec menjelaskan bahwa mereka menyembunyikan “program Bash yang canggih” dalam nama tugas yang dijadwalkan.
“CronRAT menambahkan sejumlah tugas ke crontab dengan spesifikasi tanggal yang aneh: 52 23 31 2 3. Baris-baris ini valid secara sintaksis, tetapi akan menghasilkan kesalahan waktu proses saat dijalankan. Namun, hal ini tidak akan pernah terjadi karena mereka dijadwalkan untuk berjalan pada tanggal 31 Februari,” jelas Peneliti Sansec.
Payload dikaburkan melalui beberapa lapisan kompresi dan pengkodean Base64. Dibersihkan, kode tersebut mencakup perintah untuk penghancuran diri, modulasi waktu, dan protokol khusus yang memungkinkan komunikasi dengan server jarak jauh.
Sansec mencatat bahwa teknik eksekusi baru CronRAT juga melewati algoritma pendeteksiannya, eComscan, dan para peneliti harus menulis ulang untuk menangkap ancaman baru.
Selengkapnya: Bleeping Computer
