CronRATはcrontabに。
新しい形式のマルウェアが観測されています。
CronRATです。
これそのものは、オンライン決済スキマーです。
このマルウェアはLinuxサーバに感染するもので、そのLinuxサーバがWebストアの処理を実施している場合、オンライン決済スキマーを配備し、クレジットカードデータを盗みます。
このCronRATは、現時点では多くのアンチウイルス製品で検出することができません。
隠す手法はこういうものです。
- crontabに、多数のtaskを登録する
- そのtaskの実行予定は、2月31日23時52分水曜日、です。
このような日は存在しないため、このtaskはcronによって実行されることはありません。
実行される必要もありません。 - そのtaskのコマンドが書かれている部分には、encodeされた文字列が記載される
コマンドが書かれる部分の文字列はコマンドではありません。
このため、仮にtaskが実行されたとしてもエラーになります。 - encodeされた文字列は、複数行のtaskとして記載される
- decodeすると攻撃コードが取り出せる
この特殊な日のコマンド文字列部分のencodeされたものを取り出して、それらをまとめてdecodeすると、攻撃コードになります。
圧縮とBase64エンコーディングが実施されているため、これが攻撃コードだと判別することは非常に困難です。 - 取り出した攻撃コードは、ファイルレスアタックのペイロード
問題のある活動ができるバイナリが生成されるのですが、それはファイルとなって保存されることはありません。
ファイルレスアタックのペイロードとして動作します。
CronRATは、世界中の複数の店舗で発見されており、ペイメントカードデータを盗むサーバースクリプトを挿入するために使用されていました。
いわゆるMagecart攻撃です。
新しい着想の攻撃手法がどんどん出てきます。
継続的な現状把握が必要だと感じます。
参考記事(外部リンク):CronRAT malware hides behind February 31st
sansec.io/research/cronrat
