珍しい新たな方法でサーバー上に身を隠す新たなリモートアクセス型トロイの木馬(RAT)が、セキュリティ研究者によって発見された。
BleepingComputerが最初に報じたところによると、この新しいマルウェア「CronRAT」は、存在しない2月31日に実行されるよう設定されており、Linuxサーバーのスケジュールされたタスク内に身を隠すという。
このところ、Linuxサーバーを標的とする「Magecart」マルウェアが拡大しているが、Eコマースセキュリティを専門とするSansecが発見し、命名したCronRATもその1つだ。CronRATは、サーバー側でMagecartを使ってデータを窃取するために使用される。
SansecはCronRATについて、「高度な」マルウェアと説明しており、ほとんどのウイルス対策ベンダーは依然としてこのマルウェアを検出できていない。同社は、CronRATのサンプルを受け取って仕組みを確認した後、このマルウェアを検出できるように検出エンジンを書き直す必要があった。
CronRATという名前は、Linuxの「cron」ツールに由来する。このツールを使用すれば、管理者はLinuxシステムでスケジュールされたジョブを作成し、特定の時刻や曜日に実行することができる。
Sansecは、「CronRATが最も厄介なのは、存在しない日にLinuxサーバーのカレンダーサブシステム(cron)に身を隠すことだ。これにより、サーバー管理者の目に留まるのを避けることができる。また、多くのセキュリティ製品はLinuxのcronシステムをスキャンしない」と説明でしている。
Sansecによると、このマルウェアは、「自己破壊、タイミング変調、外部の制御サーバーと通信するためのカスタムバイナリプロトコルを備えた高度な『BASH』プログラム」をドロップするという。
スキミングによってクレジットカード情報を盗む犯罪集団Magecartがすぐに姿を消すことはないだろう。現在もコロナ禍が続く中、Eコマースはショッピングで重要な役割を果たしているからだ。ブラックフライデーを前に、英国家サイバーセキュリティセンター(NCSC)は、この18カ月間に4151の小売業者がチェックアウトページのバグを標的とするハッカーにセキュリティが侵害されたことを明らかにし、注意を促した。そうした攻撃のほとんどは、人気の高いEコマースプラットフォーム「Magento」のバグを標的としていた。米連邦捜査局(FBI)は2020年、Magentoプラグインを標的とするMagecart攻撃者について、同様の警告を発している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
