O Linux, por norma, está muito mais protegido que a maioria dos sistemas e não tem falhas a serem exploradas. Este cenário acontece ao longo dos últimos anos, ainda que com algumas falhas pontuais, que se revelaram graves e perigosas.
Um novo momento destes aconteceu, com mais uma chegada de malware ao Linux. Chama-se CronRAT e tem algumas particularidades, sendo a que mais chama à atenção estar preparado para correr no dia 31 de fevereiro.
O malware tem estado a ganhar cada vez mais espaço e a ocupar áreas em que até agora estava longe e sem impacto. É isso o que agora se vê com o CronRAT, uma ameaça bem perigosa e que está a minar o universo Linux.
Detetado pela empresa Sansec, este novo RAT (remote access trojan) usa técnicas para se esconder que até agora eram desconhecidas. O seu objetivo é o roubo de informações de cartões de crédito, usado para isso os conhecidos ataques Magecart, focados em lojas online.
Isto leva a que código seja injetado nas páginas de pagamento e permite o roubo de dados dos cartões de crédito. A piorar a situação, o CronRAT consegue passar despercebido para a grande maioria das soluções de segurança para Linux.
Para o fazer usa a conhecida CRON, mas com um pormenor muito simples. Agenda todo o seu código malicioso neste elemento de controlo do Linux, mas em datas que não existem. Semanticamente está correto, mas para datas incorretas, como o dia 31 de fevereiro.
Claro que depois da recolha dos dados, o CronRAT comunica com um servidor externo, para transmitir informação. Este passo leva a que seja descarregada e usada uma biblioteca específica, ficando assim mais visível, mas acessível para o atacante correr comandos Linux remotamente.
Este é mais um caso em que a segurança do Linux é colocada em causa. Este malware tem um comportamento totalmente diferente do habitual e como tal é difícil de detetar, o que o torna mais perigoso. Infelizmente, o dia 31 não existe e isso está a ser aproveitado para esconder o CronRAT e deixar que faça o seu papel destrutivo.