Perusahaan keamanan siber asal Belanda, Sansec, belum lama ini mendeteksi penyebaran perangkat lunak jahat (malware) berupa trojan akses jarak jauh (RAT) yang menargetkan mesin Linux.
Trojan tersebut menggunakan teknik serangan yang belum pernah dilihat sebelumnya, bersembunyi pada sistem kalender Linux pada tanggal 31 Februari—padahal hari kalender ini tak pernah ada.
“Dijuluki CronRAT, malware licik tersebut memungkinkan pencurian data kartu pembayaran dari sisi server yang tidak menerapkan solusi keamanan berbasis browser,” tulis peneliti Sansec Threat Research dalam unggahan di blog perusahaan, diakses Rabu (1 Desember 2021).
Menurut peneliti, malware tersebut terlihat menyerang beberapa toko online yang menggunakan server berbasis Linux. Sayangnya, peneliti tidak menyebutkan lokasi toko online tersebut di negara mana saja.
“CronRAT saat ini belum bisa terdeteksi oleh perangkat lunak antivirus,” tulis peneliti.
Trojan tersebut bersembunyi di subsistem kalender server Linux (cron) pada hari yang tidak ada. Dengan cara ini, kata peneliti, trojan itu tidak menarik perhatian dari administrator server, sehingga banyak perangkat lunak antivirus tidak memindai sistem cron Linux.
“CronRAT memfasilitasi kontrol terus-menerus terhadap server toko online. Selama penyelidikan, dalam beberapa kasus, CronRAT mengarah pada injeksi skimmer pembayaran (alias Magecart) di sisi server,” tutur peneliti. Dengan kata lain, ia menaruh skrip tertentu untuk mencuri informasi tentang kartu pembayaran di toko online tersebut.
Dalam analisisnya, peneliti mendapati bahwa CronRAT memiliki kemampuan, di antaranya eksekusi tanpa file; modulasi waktu; anti-tampering checksums; controlled via binary, obfuscated protocol; meluncurkan tandem RAT di subsistem Linux terpisah; kontrol server yang menyamar sebagai layanan “Dropbear SSH”; dan menyembunyikan muatan (payload) atas nama tugas terjadwal CRON yang sah.
Menurut peneliti, malware tersebut mampu menyetel sejumlah perintah ke crontab dengan pola tanggal yang aneh, seperti 52 23 31 2 3. Baris-baris perintah ini valid secara sintaksis, tapi akan menghasilkan kesalahan waktu proses saat dijalankan. Dan, ini tidak akan pernah terjadi karena malware dijadwalkan berjalan pada 31 Februari, tanggal yang tak pernah ada.
Busi adalah komponen penting pada kendaraan yang berfungsi sebagai pemantik bunga api agar mesin dapat…
Akhirnya hadir! VMware akhirnya memungkinkan Anda memanfaatkan Azure AD sebagai Penyedia Identitas (IdP) utama. Hari…
Berikut jadwal imsak dan buka puasa Ramadhan 2025 di Kota Serang dari tanggal 1 Ramadhan -…
Jakarta - Pemerintah telah menetapkan awal Ramadan 2025 berdasarkan hasil sidang isbat oleh Kemenag. Begitu pula dengan organisasi masyarakat…
Siapa sangka, salah satu warganet justru mendapat informasi tak terduga yang berasal dari Meta AI.…
Ketika menjalani rutinitas sehari-hari tentu saja kamu pernah merasa suntuk atau jenuh. Supaya kamu bisa…