NginRAT

Los ciberdelincuentes están implementando una nueva amenaza de Troyano de acceso remoto (RAT) llamada NginRAT en ataques contra servidores de comercio electrónico. El objetivo de la operación amenazante es recopilar información de tarjetas de pago de tiendas en línea comprometidas. Hasta ahora, se han identificado víctimas de NginRAT en América del Norte, Alemania y Francia.

Las técnicas de evasión empleadas por NginRAT hacen que sea extremadamente difícil ser atrapado por las soluciones de seguridad. La amenaza secuestra la aplicación Nginx del host modificando la funcionalidad principal del sistema host de Linux. Más específicamente, siempre que el servidor web Nginx legítimo ejecuta una funcionalidad, como dlopen , NginRAT la intercepta y se inyecta. Como resultado, la RAT se vuelve indistinguible de un proceso legítimo.

Según la empresa de seguridad que analizó la amenaza NginRAT, existe una forma de mostrar los procesos comprometidos. La amenaza usa LD_L1BRARY_PATH (con un error tipográfico), por lo que los investigadores recomiendan ejecutar el siguiente comando:

$ sudo grep -al LD_L1BRARY_PATH / proc / * / environment | grep -v self /

/ proc / 17199 / environment

/ proc / 25074 / e nviron

También descubrieron que NginRAT fue entregado a los servidores de destino por otro malware RAT llamado CronRAT. Las dos amenazas cumplen la misma función: proporcionan acceso de puerta trasera a la máquina infectada, pero se basan en métodos diferentes. Por ejemplo, CronRAT oculta su código dañado en tareas programadas válidas que nunca se ejecutarán porque están configuradas para ejecutarse en fechas inexistentes, como el 31 de febrero.

Debido a que se ha observado que ambas amenazas están presentes al mismo tiempo, si NginRAT se encuentra en un servidor, los administradores también deben verificar las tareas cron en busca de signos de un código dañado que pueda estar oculto allí por CronRAT.