TechforID – Perusahaan keamanan siber asal Belanda, Sansec mendeteksi penyebaran perangkat lunak jahat (malware) berupa trojan akses jarak jauh (RAT) menargetkan mesin Linux.
Malware jahat itu menggunakan teknik serangan yang belum pernah ada sebelumnya, bersembunyi pada sistem kalender Linux pada tanggal 31 Februari, padahal hari kalender ini tak pernah ada.
“Dijuluki CronRAT, malware licik tersebut memungkinkan pencurian data kartu pembayaran dari sisi server yang tidak menerapkan solusi keamanan berbasis browser,” tulis Peneliti Sansec Threat Research, Rabu, 1 Desember 2021.
Menurut peneliti, malware tersebut terlihat menyerang beberapa toko online yang menggunakan server berbasis Linux. Namun, tak disebutkan lokasi toko online itu ada di negara mana.
Baca juga: Gegara Pegasus, Amerika Serikat Masukkan NSO Group ke Entity List
“CronRAT saat ini belum bisa terdeteksi oleh perangkat lunak antivirus,” tulis peneliti.
CronRAT bersembunyi di subsistem kalender server Linux (cron) pada hari yang tidak ada. Dengan cara ini, tak menarik perhatian dari administrator server, sehingga perangkat lunak antivirus tidak memindai sistem cron Linux.
“CronRAT memfasilitasi kontrol terus-menerus terhadap server toko online. Selama penyelidikan, dalam beberapa kasus, CronRAT mengarah pada injeksi skimmer pembayaran (alias Magecart) di sisi server,” tutur peneliti.
Peneliti mengatakan, CronRAT menaruh skrip tertentu untuk mencuri informasi tentang kartu pembayaran di toko online tersebut.
Dalam analisisnya, peneliti mendapati CronRAT memiliki kemampuan, antara lain:
- Eksekusi tanpa file
- Modulasi waktu
- Anti-tampering checksums
- Controlled via binary
- Obfuscated protocol
- Meluncurkan tandem RAT di subsistem Linux terpisah
- Kontrol server yang menyamar sebagai layanan “Dropbear SSH”
- Menyembunyikan muatan (payload) atas nama tugas terjadwal CRON yang sah
Menurut peneliti, CronRAT mampu menyetel sejumlah perintah ke crontab dengan pola tanggal yang aneh, seperti 52 23 31 2 3.
Baris-baris perintah ini valid secara sintaksis, tapi akan menghasilkan kesalahan waktu proses saat dijalankan. Dan, ini tidak akan pernah terjadi karena malware dijadwalkan berjalan pada 31 Februari, tanggal yang tak pernah ada.
Baca artikel selanjutnya:
