Cyber Security

Keamanan Siber Deteksi Malware Targetkan Mesin Linux

Written by Techfor Id

TechforID – Perusahaan keamanan siber asal Belanda, Sansec mendeteksi penyebaran perangkat lunak jahat (malware) berupa trojan akses jarak jauh (RAT) menargetkan mesin Linux.

Malware jahat itu menggunakan teknik serangan yang belum pernah ada sebelumnya, bersembunyi pada sistem kalender Linux pada tanggal 31 Februari, padahal hari kalender ini tak pernah ada.

“Dijuluki CronRAT, malware licik tersebut memungkinkan pencurian data kartu pembayaran dari sisi server yang tidak menerapkan solusi keamanan berbasis browser,” tulis Peneliti Sansec Threat Research, Rabu, 1 Desember 2021.

Menurut peneliti, malware tersebut terlihat menyerang beberapa toko online yang menggunakan server berbasis Linux. Namun, tak disebutkan lokasi toko online itu ada di negara mana.

Baca juga: Gegara Pegasus, Amerika Serikat Masukkan NSO Group ke Entity List

“CronRAT saat ini belum bisa terdeteksi oleh perangkat lunak antivirus,” tulis peneliti.

CronRAT bersembunyi di subsistem kalender server Linux (cron) pada hari yang tidak ada. Dengan cara ini, tak menarik perhatian dari administrator server, sehingga perangkat lunak antivirus tidak memindai sistem cron Linux.

“CronRAT memfasilitasi kontrol terus-menerus terhadap server toko online. Selama penyelidikan, dalam beberapa kasus, CronRAT mengarah pada injeksi skimmer pembayaran (alias Magecart) di sisi server,” tutur peneliti.

Peneliti mengatakan, CronRAT menaruh skrip tertentu untuk mencuri informasi tentang kartu pembayaran di toko online tersebut.

Dalam analisisnya, peneliti mendapati CronRAT memiliki kemampuan, antara lain:

  • Eksekusi tanpa file
  • Modulasi waktu
  • Anti-tampering checksums
  • Controlled via binary
  • Obfuscated protocol
  • Meluncurkan tandem RAT di subsistem Linux terpisah
  • Kontrol server yang menyamar sebagai layanan “Dropbear SSH”
  • Menyembunyikan muatan (payload) atas nama tugas terjadwal CRON yang sah

Menurut peneliti, CronRAT mampu menyetel sejumlah perintah ke crontab dengan pola tanggal yang aneh, seperti 52 23 31 2 3.

Baris-baris perintah ini valid secara sintaksis, tapi akan menghasilkan kesalahan waktu proses saat dijalankan. Dan, ini tidak akan pernah terjadi karena malware dijadwalkan berjalan pada 31 Februari, tanggal yang tak pernah ada.

Baca artikel selanjutnya:

About the author

Techfor Id

Leave a Comment

Click to ask
Hai, Tanya-Tanya Aja
Hi ini Windy, dari techfor

Windy bisa membantu kamu memahami layanan Techfor
Seperti

1. Kursus Online By Expert
2. Partnership Event dan Konten
3. Layanan liputan multimedia
4. Dan hal lain yg ingin kamu tau

Kirim saja pesan ini serta berikan salah satu nomor diatas atau beritahukan windy lebih jelas agar dapat membantu Kamu