Los investigadores de ciberseguridad han descubierto una nueva modalidad de troyano de acceso remoto (RAT) que no sólo se ejecuta en equipos Linux (un objetivo habitual pero minoritario en el mundo del malware), sino que recurre a una técnica novedosa para pasar prácticamente desapercibido: esconderse en el programador de tareas del sistema (el 'cron') asignando su ejecución a un día inexistente, el 31 de febrero.

Apodado CronRAT en un derroche de originalidad, este furtivo malware está destinado a infectar los servidores web de tiendas online, facilitando la instalación de 'skimmers' de pago que destinados al robo de datos de tarjetas de crédito. La firma holandesa de ciberseguridad Sansec Threat Research afirma haber detectado la presencia de CronRAT en varios e-commerce en funcionamiento.

Su ingenioso sistema de infección le permite no ser detectado por la mayoría de los motores antivirus disponibles en el mercado. De hecho, en el servicio de análisis VirusTotal, 12 motores antivirus no pudieron procesar el archivo malicioso y 58 de ellos no lo detectaron como una amenaza.

Todo esto es posible gracias a que el malware se aprovecha del hecho de que 'cron' admite programar tareas en cualquier especificación de fecha con un formato válido, incluso si el día indicado no existe en el calendario, como ocurre en este caso: eso tan sólo significa que la tarea programada no se ejecutará…

…a no ser que, como es el caso, el nombre de la tarea programada esconda un "sofisticado script Bash" que ofusca la carga útil del malware …