محققان امنیتی از کشف بدافزاری خبر داده اند که با آغاز جمعه سیاه فعالیت خود را آغاز کرده و توانسته مشتریان این فروشگاه ها را واقعا لکه دار کند! بسیاری از فروشگاه های آنلاین در سراسر جهان آلوده شده اند و اطلاعات کارت اعتباری مشتریان آنها به دست توسعه دهندگان این RAT پیشرفته افتاده است.

بلک فرایدی چند سالی است که در ایران برگزار می شود و امسال نیز تعداد زیادی از فروشگاه های اینترنتی با ارائه تخفیف مشتریان را به سمت خود جذب کرده اند، البته تاکنون گزارشی مبنی بر آلوده شدن فروشگاه های اینترنتی ایرانی به بدافزار CronRAT و سرقت اطلاعات مالی مشتریان گزارش نشده است. . البته هنوز نمی‌توانیم مطمئن باشیم که این RAT در ایران فعال نیست، زیرا شرکت‌هایی مانند Sansec نداریم که به طور حرفه‌ای امنیت فروشگاه‌های آنلاین را رصد کنند و در صورت شناسایی بدافزارهایی مانند CronRAT این تهدیدات را به صورت عمومی اعلام کنند. اگر کسب و کار فروش آنلاین دارید یا مشتری این فروشگاه ها هستید، با ما همراه باشید تا با بدافزار CronRAT بیشتر آشنا شوید که از روشی خلاقانه استفاده می کند که می تواند از راه حل های امنیتی پنهان شود و سرورهای لینوکس را در فروشگاه های آنلاین آلوده کند.

هر ساله، به‌ویژه در مواردی مانند جمعه سیاه، گروه‌های هکر حملات زیادی را برای سرقت اطلاعات مالی از کاربران کسب‌وکار آنلاین انجام می‌دهند، اما در این بین، نحوه عملکرد بدافزار CronRat مورد تحسین جویندگان امنیت قرار می‌گیرد. زیرا این RAT (تروجان دسترسی از راه دور) کد مخرب خود را به روشی خلاقانه در “Cron” پنهان می کند. Cron یک سیستم تقویم سرور لینوکس است که توسط بسیاری از راه حل های امنیتی اسکن نمی شود. بدافزار CronTAB تعدادی کار با اعداد فرد (52، 23، 31، 2 و 3) را به crontab یا crontable اختصاص می دهد، که لیستی از دستوراتی است که می خواهید در یک زمان خاص اجرا کنید، و از نام فرمان برای مدیریت استفاده می کند. آن لیست . . ) اضافه می کند. این خطوط از نظر نحوی صحیح هستند، اما خطای زمان اجرا می دهند، اما در نظر داشته باشید که این دستورات هرگز اجرا نمی شوند، زیرا تاریخ اجرا 31 فوریه است، تاریخی که اصلاً در تقویم وجود ندارد! اما این بدافزار بار مخرب خود را در همان کارهایی که هرگز انجام نمی شوند پنهان می کند که در مراحل بعدی مفید واقع خواهد شد. اما به گفته محققان، این RAT از روش های دیگری برای مبهم سازی استفاده می کند و در مرحله ارتباط با سرور، فرمان و کنترل این ارتباط را از نظر راه حل های امنیتی از طریق یک پروتکل باینری ویژه، پروتکلی که عملکرد بسیار خوبی دارد و غیره پنهان می کند. بدافزار به ما اجازه می دهد تا CronRAT را در دسته بدافزارهای پیشرفته قرار دهیم.

Digital Skimming که e-Skimming یا Card Skimming نیز نامیده می شود، حمله ای است که در آن مهاجمان سعی می کنند اطلاعات کارت بانکی مشتریان فروشگاه آنلاین را به سرقت ببرند. آقای Willem de Groot، مدیر Sansec Threat Detection، گفت که چون تصویربرداری دیجیتال در بیشتر موارد از سروری به سرور دیگر می رود، تمرکز اصلی کسب و کارهای آنلاین استفاده از روش های مبتنی بر مرورگر در صورت لزوم است. تمرکز روی کل ساختار و پشت نیز مهم است.

بدافزار CronRAT می‌تواند فایروال‌های مرورگر را دور بزند و به قسمت پشتی آن برود، جایی که یک اتصال پایدار برای مهاجمان فراهم می‌کند. بنابراین، اگر به دنبال محافظت از وب سایت های تجارت الکترونیک هستید، روی کل ساختار تمرکز کنید، در غیر این صورت بدافزارهایی مانند CronRAT شما را در شب سال نو یا جمعه سیاه شگفت زده خواهند کرد!

CronRAT، پس از نصب بر روی سرور لینوکس، اتصال پایداری به سرور آلوده برای مهاجمان فراهم می کند و سپس بدافزار Magecart سرور (بدافزاری که برای سرقت اطلاعات کارت اعتباری از وب سایت های تجارت الکترونیک طراحی شده است) را فعال می کند. همانطور که گفتیم نقطه قوت این RAT این است که چگونه از راه حل های امنیتی پنهان می شود که به آن اجازه می دهد با موفقیت به یکی از بزرگترین فروشگاه های آنلاین جهان حمله کند، راه حلی که محققان به دلیل نگرانی های امنیتی هنوز نتوانسته اند آن را کشف کنند.

علاوه بر این، تکنیک بدافزار هوشمند CronRAT خود یک برنامه Bash پیچیده است که از روش‌های مبهم سازی مختلفی استفاده می‌کند:

• فشرده سازی و کدگذاری کدها
• از پروتکل باینری خود برای مخفی کردن اتصال به سرور C&C استفاده کنید

پروتکل باینری ذکر شده در بالا از جمع‌های کنترل تصادفی برای مخفی شدن از فایروال‌ها و بازرسان بسته استفاده می‌کند. شناسایی این بدافزار کار ساده ای نیست و وب سایت های تجارت الکترونیک در معرض خطر جدی قرار دارند.

هر کسب‌وکاری که به خدمات آنلاین روی می‌آورد باید یک برنامه امنیتی جامع داشته باشد که کل ساختار را مورد توجه قرار دهد. علاوه بر این، انجام ارزیابی های امنیتی دوره ای و تست نفوذ در فواصل زمانی منظم و همچنین استفاده از خدماتی مانند Threat Hunting، امنیت فروشگاه های تجارت الکترونیک را افزایش می دهد و از حوادثی که می تواند منجر به از دست دادن اعتبار شود، جلوگیری می کند.