Redazione RHC : 1 Dicembre 2021 07:46
I ricercatori dell’azienda olandese Sansec hanno scoperto un nuovo Trojan di accesso remoto (RAT) per Linux che sfugge al rilevamento nascondendosi in attività programmate, per essere eseguito il giorno del 31 febbraio.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] 
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il malware si chiama CronRAT e attacca principalmente i negozi online, consentendo ai criminali informatici di rubare i dati delle carte bancarie e distribuire skimmer web su server Linux (ovvero per eseguire i cosiddetti attacchi MageCart).
Sfortunatamente, molte soluzioni di sicurezza semplicemente non “vedono” CronRAT a causa di una serie di peculiarità nel suo funzionamento.
CronRAT abusa del sistema di pianificazione delle attività di Linux, cron, che consente di pianificare l’esecuzione delle attività in giorni di calendario inesistenti come il 31 febbraio.
In questo caso, il sistema cron accetta tali date se hanno un formato valido (anche se il giorno non esiste nel calendario), ma tale attività pianificata semplicemente non verrà completata.
Sfruttando questa funzionalità, CronRAT rimane praticamente invisibile.
Nel loro rapporto, gli esperti di Sansec affermano che il malware nasconde un “programma bash complesso” nei nomi di tali attività pianificate.
“CronRAT aggiunge una serie di attività al crontab. Queste righe sono sintatticamente corrette, ma genereranno un errore di runtime quando vengono eseguite. Tuttavia, questo non accadrà mai, dal momento che l’avvio di tali attività è generalmente previsto per il 31 febbraio”.
Il payload effettivo è offuscato da più livelli di compressione e Base64. I ricercatori affermano che il codice include comandi per l’autodistruzione, la modulazione del tempo e un protocollo personalizzato che gli consente di comunicare con un server remoto.
È noto che il malware comunica con il server C&C (47.115.46.167) utilizzando “una funzione del kernel Linux che fornisce la comunicazione TCP tramite un file”.
Inoltre, la connessione viene effettuata tramite TCP sulla porta 443 utilizzando un falso banner per il servizio SSH Dropbear, che aiuta anche il Trojan a passare inosservato.
Come accennato in precedenza, CronRAT è stato trovato in molti negozi online in tutto il mondo, dove è stato utilizzato per implementare speciali script skimmer che rubano i dati delle carte di pagamento. Sansec descrive il malware come
“una seria minaccia per i server eCommerce basati su Linux”.
Il problema è aggravato dal fatto che CronRAT è quasi invisibile alle soluzioni di sicurezza. Secondo VirusTotal, 12 soluzioni antivirus non sono riuscite a elaborare il file dannoso e 58 non hanno rilevato alcuna minaccia.
RedazioneNegli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...
Microsoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e ...
Negli ultimi mesi mi sono trovato più volte a redigere querele per video falsi che circolavano online. Non parliamo soltanto di contenuti rubati e diffusi senza consenso, ma anche di deepfake: filmat...
Le aziende appaltatrici della difesa statunitense stanno sviluppando uno strumento di intelligenza artificiale chiamato Cyber Resilience On-Orbit (CROO) per rilevare attacchi informatici ai satelliti ...
Non brilliamo molto nella sicurezza informatica, ma sugli Spyware siamo tra i primi della classe! Secondo una ricerca dell’Atlantic Council, il settore dello spyware è in piena espansione, poiché ...
