Linuxon trükközik a CronRAT trójai
Egy olyan trójai program jelent meg, amely Linux alapú webszerverek megfertőzésével elsősorban webáruházakat veszélyeztet.A Sansec biztonsági kutatói egy Linux szerver ellenőrzésekor egy igencsak érdekes jelenségre lettek figyelmesek. Azt vették észre, hogy a kiszolgálón lévő webáruház kódját valami a háttérben manipulálja annak érdekben, hogy fizetési adatokat kaparintson meg. A szervert alapos vizsgálatnak vetették alá. A mélyszintű elemzésekre szükség is volt, ugyanis mint kiderült, egy olyan kártékony program okozta a problémákat, amely egy igencsak szokatlan helyen rejtőzött.
A CronRAT nevű trójai készítői a Linux cron feladatütemezőjének lehetőségeit fordították a saját javukra. Egészen pontosan a cron azon sajátosságát használták ki, hogy az a feladatok ütemezésekor olyan dátumot is elfogad, amely nem szerepel a naptárban. A CronRAT esetében ez azt jelentette, hogy a fertőzött rendszer cron konfigurációs beállításai közé egy "52 23 31 2 3" kezdetű sor került. Vagyis a vírusírók egy olyan sort szúrtak be, amely alapján az adott feladatnak február 31-én kellett volna elindulnia. Ez a megoldás szintaktikailag helyes, de a benne megadott "feladat" már hibát eredményezett volna. A hiba azonban a február 31-ei dátum miatt soha nem lépett fel.
A problémás cron feladatnak az a célja, hogy tárolja a CronRAT indítókódját. Ebből kiolvasható az a Base64 kódolással és tömörítéssel ellátott payload, ami a támadások következő lépcsőjéül szolgál.
A támadók a szerzeményükkel azt próbálják elérni, hogy a kiszemelt szervereken futtatott webáruházak fizetési oldalait manipulálják, és a vásárlók által megadott fizetési (például bankkártya) adatokat lementsék, majd kiszivárogtassák. Vagyis úgynevezett Magecart típusú támadásokat indíthatnak. A kártékony program révén a megszerzett bizalmas adatokat az elkövetők a 443-as TCP-porton keresztül tölthetik fel a saját vezérlőszerverükre, amelyet jelenleg az Alibaba szolgáltatásain keresztül hosztolnak.
A CronRAT rejtőzködési képességeit jól mutatja, hogy a felfedezésekor a VirusTotalon működő egyik víruskereső motor sem jelezte azt kártékonynak. Arról egyelőre nincsenek információk, hogy a károkozó hány szervert fertőzhetett meg. Az viszont biztos, hogy a szerzemény célzott támadásokban jut szerephez, vagyis jelenleg nincs szó tömeges terjedésről.
-
A Google ChromeOS két fontos biztonsági javítást kapott.
-
Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.
-
Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.
-
A cURL fejlesztői négy biztonsági hibáról számoltak be.
-
Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.
-
A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.
-
A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.
-
A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.
-
A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.
-
A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.