Un nuevo malware para Linux

26.11.2021

Se oculta como una tarea programada para un día inexistente para robar datos de tarjetas de crédito

Los investigadores de ciberseguridad han descubierto una nueva modalidad de troyano de acceso remoto (RAT) que no sólo se ejecuta en equipos Linux (un objetivo habitual pero minoritario en el mundo del malware), sino que recurre a una técnica novedosa para pasar prácticamente desapercibido: esconderse en el programador de tareas del sistema (el 'cron') asignando su ejecución a un día inexistente, el 31 de febrero.

Apodado CronRAT en un derroche de originalidad, este furtivo malware está destinado a infectar los servidores web de tiendas online, facilitando la instalación de 'skimmers' de pago que destinados al robo de datos de tarjetas de crédito. La firma holandesa de ciberseguridad Sansec Threat Research afirma haber detectado la presencia de CronRAT en varios e-commerce en funcionamiento.

Su ingenioso sistema de infección le permite no ser detectado por la mayoría de los motores antivirus disponibles en el mercado. De hecho, en el servicio de análisis VirusTotal, 12 motores antivirus no pudieron procesar el archivo malicioso y 58 de ellos no lo detectaron como una amenaza.

Todo esto es posible gracias a que el malware se aprovecha del hecho de que 'cron' admite programar tareas en cualquier especificación de fecha con un formato válido, incluso si el día indicado no existe en el calendario, como ocurre en este caso: eso tan sólo significa que la tarea programada no se ejecutará...

...a no ser que, como es el caso, el nombre de la tarea programada esconda un "sofisticado script Bash" que ofusca la carga útil del malware bajo múltiples capas de compresión y codificación Base64.

Ciertamente los sistemas operativos basados en Linux, son muchísimo más robustos y seguros comparados con sistemas privativos. Sin embargo, no significa que no hay que preocuparse por virus o malware en Linux. Independientemente del sabor y el tamaño de la instalación de Linux que se esté ejecutando, ya sea un solo escritorio o una granja de servidores, es fundamental prestar atención a la seguridad.

ClamAV

ClamAV es una herramienta de protección de malware en Linux, bastante popular para usarse en servidores. También está disponible para sistemas Windows y Mac. ClamAV es sumamente poderoso y está activamente en desarrollo, lo que lo convierte en un fuerte competidor de soluciones antivirus comerciales.

Pocos expertos califican a ClamAV como la mejor solución disponible, pero no es malo para un servidor Linux básico. Su mayor ventaja es que es de código abierto. Si tu presupuesto es nulo, esto es mucho mejor que vivir en una ignorancia gozosa pero peligrosa.

Ckrootkit / rkhunter

Los rootkits son un conjunto de programas, scripts y utilidades que obtienen acceso a su cuenta raíz y luego mantienen ese acceso. Una infección de rootkit clásica obtiene acceso a través de una versión de caballo de Troya del comando «sudo». Está esperando, mirando, para que un administrador escriba la contraseña de root. Luego cobra vida, toma el acceso que necesita y causa estragos.

Ckrootkit y rkhunter son programas de código abierto, específicamente diseñados para escanear y verificar la presencia de rootkits, ya sea que ya hayan sido activados o estén preparados y esperando ese fatídico comando o secuencia de instrucciones.

La principal diferencia entre los dos es el sistema operativo en el que se ejecutan. Los usuarios de Linux basados ​​en Debian tienen chkrootkit, que es fácil de instalar mediante:


sudo apt install chkrootkit

Si estas utilizando Fedora o alguna de sus derivadas, contaras con esta herramienta en sus repositorios oficiales, para instalar el comando chkrootkit en esta distribución, tendrás que ejecutar:

sudo dnf install chkrootkit

chkrootkit [opciones]


Las amenazas de 'skimming' ya no llegan únicamente desde el navegador

Pero, cuando miramos bajo todo eso, el código de CronRAT incluye comandos para la autodestrucción, modulación de temporización y un protocolo personalizado que permite la comunicación con un servidor remoto de comando y control.

Dicha conexión con el servidor (con IP 47.115.46.167), se lleva a cabo recurriendo a una "funcionalidad exótica del kernel de Linux que permite la comunicación TCP a través de un archivo", así como a una conexión a través del puerto 443, para lo que hace uso de un falso identificador del servicio Dropbear SSH, un detalle que también ayuda a que el malware permanezca 'bajo el radar'.

Además, la conexión con dicho servidor es la que permite descargar e instalar una biblioteca dinámica maliciosa, el último componente necesario del malware que permite a sus desarrolladores ejecutar luego cualquier comando en el sistema comprometido.



https://denovatoanovato.net/comando-chkrootkit/


https://medium.com/@rkone1552000/rootkit-detection-chkrootkit-rkhunter-f52394116861