Cronrat schlägt am 31. Februar zu

Sicherheitsforscher des auf den E-Commerce-Schutz spezialisierten Anbieters Sansec haben einen neuen Linux-Trojaner entdeckt, der sich als Scheduled Task versteckt und so konfiguriert ist, dass er am nichtexistierenden 31. Februar aktiv wird. Der Schädling nennt sich Cronrat (Cron für zeitgebundene Jobs in Linux, Rat für Remote Access Trojan) und soll gemäss Sansec serverseitigen Magecart-Datendiebstahl ermöglichen, der browserbasierte Sicherheitslösungen umgeht. Dies sei in Zeiten von Black Friday, Cyber Monday und anderen Rabattaktionstagen besonders bedenklich – Magecart ist eine Hackergruppe, die sich auf den Online-Handel eingeschossen hat, und Online-Shops laufen oft unter Linux mit Lösungen wie Magento, Woocommerce oder Shopware.


Das Besondere an Cronrat sind demnach die fortgeschrittenen Stealth-Techniken, die den Trojaner für die meisten Sicherheitslösungen unsichtbar machen. Sansec hat den Schädling in zahlreichen Online-Shops entdeckt, darunter der grösste Detailhändler eines nicht genannten Landes. Die Terminierung auf ein nicht existentes Datum sei eine der Techniken – Administratoren würden wohl kaum nach etwas suchen, das am 31. Februar passieren soll. Dazu komme, dass viele Linux-Sicherheitslösungen das Cron-System nicht absuchen. Details zu Cronrat finden sich auf der Website von Sansec. (ubi)