Perusahaan keamanan siber asal Belanda, Sansec, belum lama ini mendeteksi penyebaran perangkat lunak jahat (malware) berupa trojan akses jarak jauh (RAT) yang menargetkan mesin Linux.
Trojan tersebut menggunakan teknik serangan yang belum pernah dilihat sebelumnya, bersembunyi pada sistem kalender Linux pada tanggal 31 Februari—padahal hari kalender ini tak pernah ada.
“Dijuluki CronRAT, malware licik tersebut memungkinkan pencurian data kartu pembayaran dari sisi server yang tidak menerapkan solusi keamanan berbasis browser,” tulis peneliti Sansec Threat Research dalam unggahan di blog perusahaan, diakses Rabu (1 Desember 2021).
Menurut peneliti, malware tersebut terlihat menyerang beberapa toko online yang menggunakan server berbasis Linux. Sayangnya, peneliti tidak menyebutkan lokasi toko online tersebut di negara mana saja.
“CronRAT saat ini belum bisa terdeteksi oleh perangkat lunak antivirus,” tulis peneliti.
Trojan tersebut bersembunyi di subsistem kalender server Linux (cron) pada hari yang tidak ada. Dengan cara ini, kata peneliti, trojan itu tidak menarik perhatian dari administrator server, sehingga banyak perangkat lunak antivirus tidak memindai sistem cron Linux.
“CronRAT memfasilitasi kontrol terus-menerus terhadap server toko online. Selama penyelidikan, dalam beberapa kasus, CronRAT mengarah pada injeksi skimmer pembayaran (alias Magecart) di sisi server,” tutur peneliti. Dengan kata lain, ia menaruh skrip tertentu untuk mencuri informasi tentang kartu pembayaran di toko online tersebut.
Dalam analisisnya, peneliti mendapati bahwa CronRAT memiliki kemampuan, di antaranya eksekusi tanpa file; modulasi waktu; anti-tampering checksums; controlled via binary, obfuscated protocol; meluncurkan tandem RAT di subsistem Linux terpisah; kontrol server yang menyamar sebagai layanan “Dropbear SSH”; dan menyembunyikan muatan (payload) atas nama tugas terjadwal CRON yang sah.
Menurut peneliti, malware tersebut mampu menyetel sejumlah perintah ke crontab dengan pola tanggal yang aneh, seperti 52 23 31 2 3. Baris-baris perintah ini valid secara sintaksis, tapi akan menghasilkan kesalahan waktu proses saat dijalankan. Dan, ini tidak akan pernah terjadi karena malware dijadwalkan berjalan pada 31 Februari, tanggal yang tak pernah ada.
