Новый Linux-троян прячется в cron jobs с некорректной датой

Новый Linux-троян прячется в cron jobs с некорректной датой

Новый Linux-троян прячется в cron jobs с некорректной датой

Команда датских экспертов из компании Sansec обнаружила новый троян для Linux, открывающий операторам удалённый доступ к системе жертвы. Отличительной чертой этого вредоноса является практически незаметная активность за счёт использования запланированных задач.

Эти отложенные команды или cron jobs содержали некорректную дату запуска — 31 февраля. Сам троян, получивший имя CronRAT, на текущий момент атакует онлайн-магазины, а также крадёт данные банковских карт с помощью помещённого на Linux-серверы веб-скиммера.

Специалисты не зря называют CronRAT сложным зловредом, а его создателей изобретательными, поскольку трояну удаётся обходить детектирование большинством антивирусных движков.

Как уже отмечалось выше, для сокрытия активности в системе CronRAT использует систему планирования задач в операционной системе Linux. Авторы вредоноса специально задали несуществующую дату выполнения команды — 31 февраля. Как отметили в Sansec, в именах запланированных задач троян прячет «сложную Bash-программу».

«CronRAT добавляет определённое число задач с интересной датой — 52 23 31 2 3. Несмотря на то что эти строки синтаксически верны, они сгенерируют ошибку при выполнении», — объясняют исследователи.

«Тем не менее ошибки не произойдёт, поскольку дата их планируемого запуска — 31 февраля».

 

Файлы трояна обфусцированы множественными слоями, а его код содержит команды для самоликвидации. Кроме того, вредонос использует кастомный протокол для связи с командным сервером. Присутствие CronRAT зафиксировали на сайтах онлайн-магазинов по всему миру. Троян внедрял в веб-страницы специальный скрипт, перехватывающий платёжную информацию покупателей.

WhatsApp обещает защитить юзернеймы от фейков, клонов и мошенников

WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) еще не успел полноценно запустить имена пользователей, а вокруг функции уже началась возня с регуляторами. По данным СМИ, власти Индии попросили корпорацию притормозить и объяснить, как мессенджер собирается бороться с мошенничеством и подделкой личностей.

Суть опасений понятна: если пользователи смогут общаться без передачи номера телефона, мошенникам якобы станет проще прятаться за никами, выдавать себя за людей, компании или госорганы и проворачивать привычные схемы уже в более анонимном формате.

WhatsApp с этим не согласен и утверждает, что защита от злоупотреблений уже заложена в дизайн функции. Представитель корпорации сообщил Android Authority, что возможность использовать юзернеймы пока не запущена для всех и будет внедряться постепенно.

По словам WhatsApp, самые заметные имена заранее зарезервированы: публичные персоны, госструктуры, знаменитости и верифицированные аккаунты Meta не смогут быть захвачены посторонними. Более того, похожие варианты известных имен тоже удерживаются.

Компания также подчёркивает: имена пользователей не заменят номер телефона полностью. Для создания и использования аккаунта WhatsApp по-прежнему потребуется телефонный номер. Ник нужен только как способ дать людям возможность связаться друг с другом без немедленного раскрытия номера.

Дополнительные ограничения тоже будут. Чтобы написать человеку по юзернейму, нужно знать его точное имя. WhatsApp обещает ограничивать количество новых контактов, которым может написать один аккаунт, блокировать массовый перебор никнеймов и использовать автоматические системы для поиска подозрительной активности и имперсонации.

Если незнакомец впервые напишет по имени, пользователь увидит больше контекста: новый ли это аккаунт, есть ли он в контактах, есть ли общая группа и из какой страны идет сообщение.

Иными словами, WhatsApp пытается усидеть на двух стульях: дать пользователям больше приватности, но не превратить юзернеймы в новый рай для мошенников. Получится ли? Станет понятно после запуска.

RSS: Новости на портале Anti-Malware.ru