CronRAT, il topo del crontab

In periodo di Black Friday e di acquisti di Natale alle porte, i servizi di eCommerce sono quanto mai a rischio, specialmente per quanto riguarda la sicurezza dei dati delle carte di credito inviati ad ogni transazione effettuata online. E anche i sistemi Linux sono coinvolti.

Una delle più problematiche tipologie di malware diffusi al momento fa parte della categoria degli skimmers, che funzionano, letteralmente, rubando numero, intestatario e CVV della carta di credito ed utilizzando tali dati per effettuare ulteriori acquisti online – o per comprare criptovalute. Il problema relativo agli skimmers è che sono molto difficili da tracciare, e complicati da rilevare. Magecart è uno dei più diffusi, e da più di cinque anni infesta sistemi di eCommerce come Magento. Si calcola che nel 2020 siano stati trovati almeno 50 mila negozi online il cui servizio abbia subito, almeno una volta, un attacco Magecart.

Esistono vari flavor di Magecart, alcuni che girano sul client (e il codice malevolo è di Javascript, che va ad installare un keylogger sui client aventi browser vulnerabili), altri che girano sul server (generalmente sul servizio di eCommerce, nel 90% dei casi scritto in PHP). È proprio quest’ultima tipologia di Magecart quella che viene veicolata dal topo del crontab, CronRAT.

Questo malware sfrutta allo stesso tempo alcune metodologie che lo rendono difficile da rilevare:

  • non ha necessità di file esterni;
  • ha dei checksum anti-tampering;
  • è controllato tramite un protocollo binario offuscato;
  • sfrutta il fatto che il servizio crond Linux non va a controllare che la data data inserita sia corretta.

Quest’ultima caratteristica gli permette di essere inserito come un task nel crontab, con una sintassi del comando errata (e che quindi darebbe errore se eseguita, ma con l’accortezza di programmarla, ad esempio, il 31 Febbraio. Il demone cron non fa una piega, infatti, di fronte a date inesistenti, ma si preoccupa solo di validare la sintassi dei campi in sè e per sè, lasciando il payload rilevato.

Quello che poi va a fare CronRAT è il connettersi, tramite script bash opportunamente offuscato, ad un server remoto la cui signature di connessione si presenta come un SSH Service Dropbear: in realtà, tramite un opportuno protocollo, vengono inviati dei comandi speciali che fanno in modo che il server invii delle librerie tampered che vanno a sovrascrivere funzioni di quelle di sistema, venendo referenziate tramite il ben noto metodo LD_PRELOAD.

Sostanzialmente, in questo modo, chi sta utilizzando CronRAT può fare eseguire qualsiasi tipologia di codice. E una delle vittime preferite, in questo periodo, sono proprio i server vulnerabili a MageCart.

Occhio quindi nei vostri acquisti online: se possibile, utilizzate sistemi di pagamento sicuri, o carte prepagate per limitare i danni.

Sostenitore di lunga data dell'Open Source, Sysadmin ma anche programmatore, mi appassiona qualsiasi cosa nell'IT che possa permettere un'espressione di creatività. Nostalgico della filosofia dei tempi andati, ma incuriosito dalle potenzialità dei paradigmi moderni.

Tags: , ,