Malware disfarçado de processo em servidor Nginx

Da Redação
03/12/2021

As lojas online estão sendo atacadas por malware de acesso remoto que se disfarça como um processo legítimo em servidores Nginx. Conhecido como NginRAT, o malware é usado em ataques do lado do servidor para roubar dados de cartão de pagamento de lojas online.

O NginRAT foi detectado em servidores de comércio eletrônico na América do Norte e na Europa que foram infectados com o trojan de acesso remoto CronRAT. O CronRAT é um malware que disfarça suas ações maliciosas, programando -as para ocorrer em um dia de calendário inexistente.

De acordo com especialistas da Sansec, o novo malware é baixado usando o CronRAT, embora os dois executem a mesma função – fornecer acesso remoto a um sistema comprometido. Embora métodos muito diferentes sejam usados ​​para garantir a dissimulação, ambos os RATs atuam como backup para preservar o acesso remoto.

Veja isso
Alta exponencial de ataques contra APIs de open banking
Cresce compartilhamento de responsabilidade nas empresas

Sansec conseguiu compreender o NginRAT depois de construir uma versão customizada do CronRAT e observar a comunicação com o centro de comando na China. Os pesquisadores enganaram o centro de comando para enviar e executar a carga útil da biblioteca shadow como parte da comunicação maliciosa normal, disfarçando o NginRAT como “malware mais sofisticado”.

“O NginRAT está essencialmente sequestrando o aplicativo Nginx para passar despercebido. Para fazer isso, o NginRAT modifica a funcionalidade básica de um sistema baseado em Linux. Quando um servidor Nginx legítimo da web usa certas funções (por exemplo, dlopen), o NginRAT assume o controle ”, explicaram os especialistas.

O NginRAT atinge o sistema comprometido usando o CronRAT executando um comando dwn especial que baixa a biblioteca do sistema Linux malicioso para a pasta / dev / shm / php-shared. A biblioteca é então executada usando a função de depuração LD_PRELOAD no Linux, que é comumente usada para testar bibliotecas do sistema.

Como o NginRAT está disfarçado como um processo normal do Nginx e o código só existe na memória do servidor, detectá-lo pode ser um problema. O malware é iniciado usando duas variáveis: LD_PRELOAD e LD_L1BRARY_PATH. Os administradores podem usar o último, um erro de digitação, para identificar processos maliciosos ativos.

Como Sansec apontou, se o NginRAT for detectado no servidor, os administradores de sistemas precisam verificar os cron jobs porque é onde o malware pode estar se escondendo.

Com agências de notícias internacionais

Compartilhar: