CronRATはcrontabに。

ほぼこもセキュリティニュース By Terilogy Worx

新しい形式のマルウェアが観測されています。
CronRATです。

これそのものは、オンライン決済スキマーです。
このマルウェアはLinuxサーバに感染するもので、そのLinuxサーバがWebストアの処理を実施している場合、オンライン決済スキマーを配備し、クレジットカードデータを盗みます。

このCronRATは、現時点では多くのアンチウイルス製品で検出することができません。
隠す手法はこういうものです。

  • crontabに、多数のtaskを登録する
  • そのtaskの実行予定は、2月31日23時52分水曜日、です。
    このような日は存在しないため、このtaskはcronによって実行されることはありません。
    実行される必要もありません。
  • そのtaskのコマンドが書かれている部分には、encodeされた文字列が記載される
    コマンドが書かれる部分の文字列はコマンドではありません。
    このため、仮にtaskが実行されたとしてもエラーになります。
  • encodeされた文字列は、複数行のtaskとして記載される
  • decodeすると攻撃コードが取り出せる
    この特殊な日のコマンド文字列部分のencodeされたものを取り出して、それらをまとめてdecodeすると、攻撃コードになります。
    圧縮とBase64エンコーディングが実施されているため、これが攻撃コードだと判別することは非常に困難です。
  • 取り出した攻撃コードは、ファイルレスアタックのペイロード
    問題のある活動ができるバイナリが生成されるのですが、それはファイルとなって保存されることはありません。
    ファイルレスアタックのペイロードとして動作します。

CronRATは、世界中の複数の店舗で発見されており、ペイメントカードデータを盗むサーバースクリプトを挿入するために使用されていました。
いわゆるMagecart攻撃です。

新しい着想の攻撃手法がどんどん出てきます。
継続的な現状把握が必要だと感じます。

参考記事(外部リンク):CronRAT malware hides behind February 31st
sansec.io/research/cronrat

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。