Các nhà nghiên cứu đã phát hiện ra 1 loại mã độc có khả năng cho các hacker truy cập vào máy tính bị nhiễm từ xa (RAT) trên linux mang tên CronRAT. Nó sử dụng phương thức che giấu các hành động gây nguy hiểm tới máy của bạn bằng cách lập trình cho chúng thực hiện các hành động đó vào ngày 31 tháng 2 – một ngày không thể tồn tại ở bất kì cuốn lịch nào.
“CronRAT có khả năng cho phép các Magecart đánh cắp dữ liệu từ máy tính cá nhân của bạn bằng cách bypass bảo mật của trình duyệt” – theo Sansec Threat Research. Công ty an ninh mạng của Hà Lan cho biết họ đã tìm thấy các mã độc trên một số cửa hàng trực tuyến, bao gồm cả một cửa hàng lớn nhất của một quốc gia.
Tính năng nổi bật của CronRAT là khả năng tận dụng tiện ích lên lịch cron trên UNIX để che giấu các hành động lấy thông tin bằng cách tạo 1 tác vụ được lập trình để thực thi vào ngày 31 tháng 2. Điều này không chỉ cho phép phần mềm độc hại né tránh sự phát hiện từ phần mềm bảo mật mà còn cho phép nó khởi chạy một loạt lệnh cho phép tấn công và có thể khiến các máy chủ của Linux eCommerce gặp sự cố.
Các nhà nghiên cứu giải thích: “CronRAT thêm một số nhiệm vụ vào crontab và để chúng lên lịch với ngày giờ trên câu lệnh khá là đặc biệt: 52 23 31 2 3. Hãy đổi cái này ra giờ thật thì sẽ là thứ tư ngày 31 tháng 2 vào lúc 23 giờ 52 phút. Những dòng này hợp lệ về mặt cú pháp, nhưng sẽ tạo ra lỗi thời gian chạy khi được thực thi. Tuy nhiên, điều này sẽ không bao giờ xảy ra vì chúng được lên lịch chạy vào ngày 31 tháng 2.”
CronRat cũng có chức năng ẩn mình trước phần mềm quét virus hay tường lửa. Chẳng hạn như đặt mã độc đằng sau các barriers, đồng thời triển khai một giao thức nhị phân được chỉnh sửa để vượt qua tường lửa và trình kiểm tra gói, trước khi kết nối và chờ lệnh từ máy chủ.
CronRAT được trang bị Backdoor access và từ đó có thể khiến cho các hacker có thể gửi lệnh tới máy tính của chúng ta bất cứ lúc nào.
Anh em nào sử dụng linux nhớ cẩn thận không bị dính CronRAT là lộ hết dữ liệu cá nhân nhé! Hãy để lại bình luận phía bên dưới để mình biết các bạn nghĩ gì về mã độc 31 tháng 2 này nhé!