Investigadores han descubierto un nuevo troyano de acceso remoto (RAT) para Linux que emplea una técnica de ocultación nunca antes vista, que consiste en enmascarar sus acciones maliciosas programándolas para su ejecución, el 31 de febrero, un día del calendario inexistente.

Apodado CronRAT, el malware furtivo “permite el robo de datos de Magecart en el lado del servidor, lo que evita las soluciones de seguridad basadas en el navegador”, dijo Sansec Threat Research. La empresa holandesa de ciberseguridad dijo haber encontrado muestras del RAT en varias tiendas online, incluyendo el mayor establecimiento de un país no identificado.

La característica más destacada de CronRAT es su capacidad para aprovechar la utilidad de cron job-scheduler para Unix para ocultar cargas útiles maliciosas utilizando nombres de tareas programadas para ejecutarse el 31 de febrero. Esto no sólo permite al malware eludir la detección del software de seguridad, sino que también le permite lanzar una serie de comandos de ataque que podrían poner en peligro los servidores Linux de comercio electrónico.

El RAT -un “sofisticado programa Bash”- también utiliza muchos niveles de ofuscación para dificultar el análisis, como la colocación de código detrás de barreras de codificación y compresión, y la implementación de un protocolo binario personalizado con sumas de comprobación aleatorias para pasar los cortafuegos y los inspectores de paquetes, antes de establecer comunicaciones con un servidor de control remoto para esperar nuevas instrucciones.

Armados con este acceso de puerta trasera, los atacantes asociados a CronRAT pueden ejecutar cualquier código en el sistema comprometido, señalaron los investigadores.

Con información de Europa Press.