Cronrat schlägt am 31. Februar zu
Quelle: Sansec

Cronrat schlägt am 31. Februar zu

Ein Linux-Trojaner hat es auf die Server von Online-Händlern abgesehen und ermöglicht den Diebstahl von Kundendaten.
30. November 2021

     

Sicherheitsforscher des auf den E-Commerce-Schutz spezialisierten Anbieters Sansec haben einen neuen Linux-Trojaner entdeckt, der sich als Scheduled Task versteckt und so konfiguriert ist, dass er am nichtexistierenden 31. Februar aktiv wird. Der Schädling nennt sich Cronrat (Cron für zeitgebundene Jobs in Linux, Rat für Remote Access Trojan) und soll gemäss Sansec serverseitigen Magecart-Datendiebstahl ermöglichen, der browserbasierte Sicherheitslösungen umgeht. Dies sei in Zeiten von Black Friday, Cyber Monday und anderen Rabattaktionstagen besonders bedenklich – Magecart ist eine Hackergruppe, die sich auf den Online-Handel eingeschossen hat, und Online-Shops laufen oft unter Linux mit Lösungen wie Magento, Woocommerce oder Shopware.


Das Besondere an Cronrat sind demnach die fortgeschrittenen Stealth-Techniken, die den Trojaner für die meisten Sicherheitslösungen unsichtbar machen. Sansec hat den Schädling in zahlreichen Online-Shops entdeckt, darunter der grösste Detailhändler eines nicht genannten Landes. Die Terminierung auf ein nicht existentes Datum sei eine der Techniken – Administratoren würden wohl kaum nach etwas suchen, das am 31. Februar passieren soll. Dazu komme, dass viele Linux-Sicherheitslösungen das Cron-System nicht absuchen. Details zu Cronrat finden sich auf der Website von Sansec. (ubi)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER