Malware disfarçado de processo em servidor Nginx

O malware NginRAT é usado em ataques do lado do servidor para roubar dados de cartão de pagamento de lojas online
Da Redação
03/12/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

As lojas online estão sendo atacadas por malware de acesso remoto que se disfarça como um processo legítimo em servidores Nginx. Conhecido como NginRAT, o malware é usado em ataques do lado do servidor para roubar dados de cartão de pagamento de lojas online.

O NginRAT foi detectado em servidores de comércio eletrônico na América do Norte e na Europa que foram infectados com o trojan de acesso remoto CronRAT. O CronRAT é um malware que disfarça suas ações maliciosas, programando -as para ocorrer em um dia de calendário inexistente.

De acordo com especialistas da Sansec, o novo malware é baixado usando o CronRAT, embora os dois executem a mesma função – fornecer acesso remoto a um sistema comprometido. Embora métodos muito diferentes sejam usados ​​para garantir a dissimulação, ambos os RATs atuam como backup para preservar o acesso remoto.

Veja isso
Alta exponencial de ataques contra APIs de open banking
Cresce compartilhamento de responsabilidade nas empresas

Sansec conseguiu compreender o NginRAT depois de construir uma versão customizada do CronRAT e observar a comunicação com o centro de comando na China. Os pesquisadores enganaram o centro de comando para enviar e executar a carga útil da biblioteca shadow como parte da comunicação maliciosa normal, disfarçando o NginRAT como “malware mais sofisticado”.

“O NginRAT está essencialmente sequestrando o aplicativo Nginx para passar despercebido. Para fazer isso, o NginRAT modifica a funcionalidade básica de um sistema baseado em Linux. Quando um servidor Nginx legítimo da web usa certas funções (por exemplo, dlopen), o NginRAT assume o controle ”, explicaram os especialistas.

O NginRAT atinge o sistema comprometido usando o CronRAT executando um comando dwn especial que baixa a biblioteca do sistema Linux malicioso para a pasta / dev / shm / php-shared. A biblioteca é então executada usando a função de depuração LD_PRELOAD no Linux, que é comumente usada para testar bibliotecas do sistema.

Como o NginRAT está disfarçado como um processo normal do Nginx e o código só existe na memória do servidor, detectá-lo pode ser um problema. O malware é iniciado usando duas variáveis: LD_PRELOAD e LD_L1BRARY_PATH. Os administradores podem usar o último, um erro de digitação, para identificar processos maliciosos ativos.

Como Sansec apontou, se o NginRAT for detectado no servidor, os administradores de sistemas precisam verificar os cron jobs porque é onde o malware pode estar se escondendo.

Com agências de notícias internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)