Un ‘malware’ para el sistema operativo Linux denominado CronRAT ha desarrollado una nueva forma de esconderse para evitar ser detectado utilizando el programador de tareas del sistema y una fecha que en realidad no existe: el 31 de febrero.
Así lo ha descubierto el analista de ciberseguridad Sansec, que ha alertado sobre este ‘malware’, cuyo nombre procede de RAT, siglas de troyano de acceso remoto, y ‘Cron’, como se denomina habitualmente al programador de tareas del sistema en Linux.
El virus utiliza el calendario de Linux para esconderse con una táctica de evasión que no había sido vista hasta el momento en la industria de la ciberseguridad, creando una fecha falsa, el 31 de febrero.
Coincidiendo con el periodo de rebajas del Black Friday, Sansec ha descubierto que CronRAT está presente en múltiples tiendas en línea, y que su uso facilita el control persistente sobre los servidores en ‘eCommerce’.
La principal característica de este troyano es su capacidad para esconderse en el programador de tareas de Linux y crear la fecha inexistente del 31 de febrero. De esta manera, la mayor parte de desarrolladores de ‘software’ de seguridad no detectan su presencia, ya que tampoco analizan el programador de Linux.
Entre las funciones de CronRAT que afectan a los servidores de ‘ecommerce’ se encuentran la ejecución sin archivos, la modulación de tiempo, las sumas de comprobación antimanipulación, o el control a través de un protocolo binario ofuscado.
Asimismo, el ‘malware’ lanza RAT en tándem en un subsistema Linux separado, y también es capaz de utilizar un servidor de control disfrazado de servicio ‘Dropbear SSH’ o valerse de la carga útil oculta en nombres legítimos de tareas programadas de CRON.
